TR/Vundo.Gen Trojaner Bitte hilft mir :D

Hallo kingbozz,
mit dem Tool “The Avenger“ kann die Datei, die für die Infektion verantwortlich ist, manuell gelöscht werden.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html

***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\vtsqp.dll
***Diese Zeile nicht mitkopieren!***

Lösche danach bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Scanne anschließend deinen PC mit dem F-Secure Online Scanner
http://support.f-secure.de/ger/home/ols.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“
Poste den Scan Bericht hier!

Weiter führe einen HijackThis-Log zu Informationszwecken aus.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
 

Hallo!

Ich hatte das gleiche Problem mit dem Trojaner als Datei im Windows-Ordner system32. Die Lösung mit Avenger ist simpel und hat super funktioniert bei mir.

VIELEN DANK!!!!!!!

Ich wollt mal freagen ob mir mal jemand sagen kann was ich in den skript reinschreiben soll so das ich die datei "iifgfdc.dll" wegbekomme. irgendwie versteh ich das nicht so recht. ??? ??? ??? schon mal danke im vorraus

MfG MaT3ri4Ls

MaT3ri4Ls,
hier der Skript für Avenger:

***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\iifgfdc.dll
***Diese Zeile nicht mitkopieren!***


Folge dann der Anweisung aus meinen Beitrag vom 27.04.07!

Danke für deine hilfe help. Es hat super geklapt mit avenger. Nochmals vielen dank.

hi leute,

hab mir jetzt leider auch den tr/vundo.gen gefangen. den avenger hab ich mir runtergeladen, aber ehrlich gesagt bin ich scheinbar zu doof dafür...

hier mein antivir-report, vielleicht kann mir ja jemand sagen, was ich jetzt tun soll. danke schonmal...

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 2. Mai 2007  14:21

Es wird nach 761062 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 1)  [5.1.2600]
Benutzername:     Administrator
Computername:     YOUR-KMY8MDJ56U

Versionsinformationen:
BUILD.DAT    : 244           14437 Bytes  16.04.2007 16:03:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  21.04.2007 15:57:09
AVSCAN.DLL   : 7.0.4.0       41000 Bytes  21.04.2007 15:57:09
LUKE.DLL     : 7.0.4.11     143400 Bytes  21.04.2007 15:57:10
LUKERES.DLL  : 7.0.4.0       10792 Bytes  21.04.2007 15:57:10
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 07:15:44
ANTIVIR1.VDF : 6.37.1.151  4303360 Bytes  23.02.2007 22:28:33
ANTIVIR2.VDF : 6.38.1.56   1022976 Bytes  27.04.2007 16:20:57
ANTIVIR3.VDF : 6.38.1.73     43520 Bytes  01.05.2007 02:14:24
AVEWIN32.DLL : 7.4.0.15    2421248 Bytes  24.04.2007 16:04:19
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  21.04.2007 15:57:09
AVPREF.DLL   : 7.0.2.1       24616 Bytes  21.04.2007 15:57:09
AVREP.DLL    : 7.0.0.1      155688 Bytes  21.04.2007 15:57:11
AVPACK32.DLL : 7.3.0.8      360488 Bytes  06.04.2007 22:28:34
AVREG.DLL    : 7.0.1.2       31784 Bytes  21.04.2007 15:57:09
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  21.04.2007 15:57:08
AVARKT.DLL   : 1.0.0.12     274472 Bytes  21.04.2007 15:57:07
NETNT.DLL    : 7.0.0.0        7720 Bytes  21.04.2007 15:57:10
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  21.04.2007 15:57:01
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  21.04.2007 15:57:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 2. Mai 2007  14:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!
Bootsektor 'A:\'
      [HINWEIS]   Im  Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '16' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\nnnom.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 2. Mai 2007  14:38
Benötigte Zeit: 17:50 min

Der Suchlauf wurde vollständig durchgeführt.

   2476 Verzeichnisse wurden überprüft
  83332 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 davon wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
  83331 Dateien ohne Befall
    629 Archive wurden durchsucht
      3 Warnungen
     34 Hinweise
      0 Versteckte Objekte wurden gefunden

75klaus,
hier dein Skript für Avenger, falls du dises noch nicht umgesetzt hast.

***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\nnnom.dll
***Diese Zeile nicht mitkopieren!***


Folge dann der Anweisung aus meinen Beitrag vom 27.04.07! 

... und spiele unbedingt das Service Pack 2 für XP ein, wie auch alle anderen Sicherheitsupdates für Windows !!!
 

hi help,

erstmal danke für deine antwort. hab den avenger durchlaufen lassen, nach dem neustart kam dann diese meldung:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mhwntdcc

*******************

Script file located at: \??\C:\fdltdflw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\nnnom.dll deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

danach hab ich den ccleaner benutzt, der hat mir ca 150mb gelöscht. auch dazu gibt es einen bericht, der allerdings seeehr lang ist - soll ich den auch hier reinkopieren?

den online scan konnte ich nicht machen, klappt wohl mit dem Firefox nicht...

allerdings taucht mir immer noch diese meldung auf, das der trojaner noch da ist - die gleiche datei, die ich doch eigentlich über den avenger gelöscht hab?!?

irgendwie komm ich nich weiter, bin für jede hilfe dankbar.

gruss klaus 

Klaus

- Avenger hat die Datei zwar gelöscht, aber Hintergrund läuft ein Prozess der sie wieder neu erstellt!
- F-Secure Online Scanner läuft nur über IE von Microsoft, rufe die Webseite über ihn auf !
- Was meldet AntiVir und wo, bitte posten.
- Der Bericht von CCleaner wird nicht benötigt !
- Erstelle noch den HijackThis-Log
- Ist dein Windows XP eine Raubkopie?

@help

-der f-secure-scan mit dem ie läuft gerade, ist bei 13 viren bisher...
-nach dem neustart durch avenger kam beim antivir die gleiche meldung wie bisher, nnnom.dll wäre der trojaner tr/vundo.gen
-hijack-log folgt...


gruss

der hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 20:26:44, on 02.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C9E9415-21B3-4DE5-915E-3A2A76DB2EA7} - (no file)
O2 - BHO: (no name) - {0E7AB073-831D-4D32-9475-3070BD8D65C2} - (no file)
O2 - BHO: (no name) - {179CC211-4B77-4912-AB15-0C7E9166DEB8} - (no file)
O2 - BHO: (no name) - {1B81D81A-E422-49B4-A582-DB44A76A799D} - (no file)
O2 - BHO: (no name) - {1D2E4D9D-9FF1-415E-B463-1353688BCF5D} - (no file)
O2 - BHO: (no name) - {1E4A752C-2DBA-4C95-AB5A-DA0F15796B1A} - (no file)
O2 - BHO: (no name) - {21680F2C-D0C0-40F1-A9A1-B62E8F2A870A} - (no file)
O2 - BHO: (no name) - {2AD08322-6ACD-45E3-B5BD-10501DCC108D} - (no file)
O2 - BHO: (no name) - {2B909636-807E-48DC-AC0D-60B74ECBE634} - (no file)
O2 - BHO: (no name) - {2E478596-55EA-42E4-8E6B-932935225FCB} - (no file)
O2 - BHO: (no name) - {348A6107-0C33-4ABB-B723-E71096FAAE41} - (no file)
O2 - BHO: (no name) - {3C49462E-3D7D-4F9C-9D81-F48A75967D17} - (no file)
O2 - BHO: (no name) - {48AAB019-090B-4E9E-AF0B-C48E00E060B4} - (no file)
O2 - BHO: (no name) - {49198729-BB60-4248-A615-8BEC2696F066} - (no file)
O2 - BHO: (no name) - {4F5F3262-25C6-4E46-B8E4-D453EB128D7D} - (no file)
O2 - BHO: (no name) - {4FDB5CE1-0DDC-4A9C-B9FC-8D961D2C7787} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {566683ED-C339-45A9-8512-A3E2657F0D05} - (no file)
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\System32\qanlyhqi.dll (file missing)
O2 - BHO: (no name) - {59424AF5-71D1-4677-8FDF-D5E1C028E4D5} - (no file)
O2 - BHO: (no name) - {5F7FBCDD-68AD-4943-8721-C5BF67AF5F1C} - (no file)
O2 - BHO: (no name) - {5FED802E-CAB2-4162-89AE-F50A12A473FC} - (no file)
O2 - BHO: (no name) - {65E77411-89AC-4209-914B-29E5FACFA99E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7D564E6E-64A1-4329-A301-C75A2B170721} - (no file)
O2 - BHO: (no name) - {7F82F38B-F805-484F-914A-89782E378FE7} - (no file)
O2 - BHO: (no name) - {7F9ED87D-F78D-4C7C-9DC9-9E1E87C36592} - (no file)
O2 - BHO: (no name) - {8120969A-8D0A-4E94-938A-1A058CBA29CC} - (no file)
O2 - BHO: (no name) - {8F82EA18-17E3-4908-99F2-A188DE56DD81} - (no file)
O2 - BHO: (no name) - {98D5C36D-1174-4CDB-9785-A95A47722E4C} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\cbxuvus.dll
O2 - BHO: (no name) - {A112FB60-CFF1-4BE3-85D3-80D3B6D8C467} - (no file)
O2 - BHO: (no name) - {AA83019C-E4E7-4A9A-849E-3854EF94EB83} - (no file)
O2 - BHO: (no name) - {B93415D9-6C8C-4161-A134-4988D0E035A2} - (no file)
O2 - BHO: (no name) - {BC1B76C6-918D-404D-A89F-0761D049507D} - (no file)
O2 - BHO: (no name) - {BCC91B53-9A68-4DEB-AC64-BC28DB1F5789} - (no file)
O2 - BHO: (no name) - {C4B6636F-314F-4127-AC2A-6A1673DB8129} - (no file)
O2 - BHO: (no name) - {C696BB29-78F4-4D97-92D8-645F97504252} - (no file)
O2 - BHO: (no name) - {CACE8F84-0D24-42A9-B80E-D7BE1F9DA7D4} - (no file)
O2 - BHO: (no name) - {CCC4C3E6-3E15-4812-9993-CBAF929FC368} - (no file)
O2 - BHO: (no name) - {D0A60D0C-3846-47A8-90C5-94A1E72E0301} - (no file)
O2 - BHO: (no name) - {D105B124-FA02-4800-9D4F-30E4EF59E0FD} - (no file)
O2 - BHO: (no name) - {D2CA6C88-DD6A-43B8-81A8-84D97E8DA063} - C:\WINDOWS\System32\nnnom.dll (file missing)
O2 - BHO: (no name) - {DB128EAC-5608-4020-8C46-B63FFFDE1574} - (no file)
O2 - BHO: (no name) - {EB054188-9FF9-4E36-BD49-1CBF4A27132A} - (no file)
O2 - BHO: (no name) - {F4F73FFA-7D28-42EC-891E-F7E0C23189B9} - (no file)
O2 - BHO: (no name) - {F5DF1019-CA98-4DD5-88B3-02B10BD19AB2} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\vcnpnf.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\System32\fminqngi.dll",setvm
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] ctfmom.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80E6ADE5-70ED-4C41-B9C0-6531FA9B57B0}: NameServer = 213.191.92.86 213.191.74.18
O20 - Winlogon Notify: cbxuvus - C:\WINDOWS\SYSTEM32\cbxuvus.dll
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

Hi!

also die Online-Auswertung zeigt einige unnötige und "böse" Sachen

O2 - BHO: (no name) - {0C9E9415-21B3-4DE5-915E-3A2A76DB2EA7} - (no file)

O2 - BHO: (no name) - {0E7AB073-831D-4D32-9475-3070BD8D65C2} - (no file)

O2 - BHO: (no name) - {179CC211-4B77-4912-AB15-0C7E9166DEB8} - (no file)

O2 - BHO: (no name) - {1B81D81A-E422-49B4-A582-DB44A76A799D} - (no file)

O2 - BHO: (no name) - {1D2E4D9D-9FF1-415E-B463-1353688BCF5D} - (no file)

O2 - BHO: (no name) - {1E4A752C-2DBA-4C95-AB5A-DA0F15796B1A} - (no file)

O2 - BHO: (no name) - {21680F2C-D0C0-40F1-A9A1-B62E8F2A870A} - (no file)

O2 - BHO: (no name) - {2AD08322-6ACD-45E3-B5BD-10501DCC108D} - (no file)

O2 - BHO: (no name) - {2B909636-807E-48DC-AC0D-60B74ECBE634} - (no file)

O2 - BHO: (no name) - {2E478596-55EA-42E4-8E6B-932935225FCB} - (no file)

O2 - BHO: (no name) - {348A6107-0C33-4ABB-B723-E71096FAAE41} - (no file)

O2 - BHO: (no name) - {3C49462E-3D7D-4F9C-9D81-F48A75967D17} - (no file)

O2 - BHO: (no name) - {48AAB019-090B-4E9E-AF0B-C48E00E060B4} - (no file)

O2 - BHO: (no name) - {49198729-BB60-4248-A615-8BEC2696F066} - (no file)

O2 - BHO: (no name) - {4F5F3262-25C6-4E46-B8E4-D453EB128D7D} - (no file)

O2 - BHO: (no name) - {4FDB5CE1-0DDC-4A9C-B9FC-8D961D2C7787} - (no file)

O2 - BHO: (no name) - {566683ED-C339-45A9-8512-A3E2657F0D05} - (no file)

O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\System32\qanlyhqi.dll (file missing)

O2 - BHO: (no name) - {59424AF5-71D1-4677-8FDF-D5E1C028E4D5} - (no file)

O2 - BHO: (no name) - {5F7FBCDD-68AD-4943-8721-C5BF67AF5F1C} - (no file)

O2 - BHO: (no name) - {5FED802E-CAB2-4162-89AE-F50A12A473FC} - (no file)

O2 - BHO: (no name) - {65E77411-89AC-4209-914B-29E5FACFA99E} - (no file)

O2 - BHO: (no name) - {7D564E6E-64A1-4329-A301-C75A2B170721} - (no file)

O2 - BHO: (no name) - {7F82F38B-F805-484F-914A-89782E378FE7} - (no file)

O2 - BHO: (no name) - {7F9ED87D-F78D-4C7C-9DC9-9E1E87C36592} - (no file)

O2 - BHO: (no name) - {8120969A-8D0A-4E94-938A-1A058CBA29CC} - (no file)

O2 - BHO: (no name) - {8F82EA18-17E3-4908-99F2-A188DE56DD81} - (no file)

O2 - BHO: (no name) - {98D5C36D-1174-4CDB-9785-A95A47722E4C} - (no file)

O2 - BHO: (no name) - {A112FB60-CFF1-4BE3-85D3-80D3B6D8C467} - (no file)

O2 - BHO: (no name) - {AA83019C-E4E7-4A9A-849E-3854EF94EB83} - (no file)

O2 - BHO: (no name) - {B93415D9-6C8C-4161-A134-4988D0E035A2} - (no file)

O2 - BHO: (no name) - {BC1B76C6-918D-404D-A89F-0761D049507D} - (no file)

O2 - BHO: (no name) - {BCC91B53-9A68-4DEB-AC64-BC28DB1F5789} - (no file)

O2 - BHO: (no name) - {C4B6636F-314F-4127-AC2A-6A1673DB8129} - (no file)

O2 - BHO: (no name) - {C696BB29-78F4-4D97-92D8-645F97504252} - (no file)

O2 - BHO: (no name) - {CACE8F84-0D24-42A9-B80E-D7BE1F9DA7D4} - (no file)

O2 - BHO: (no name) - {CCC4C3E6-3E15-4812-9993-CBAF929FC368} - (no file)

O2 - BHO: (no name) - {D0A60D0C-3846-47A8-90C5-94A1E72E0301} - (no file)

O2 - BHO: (no name) - {D105B124-FA02-4800-9D4F-30E4EF59E0FD} - (no file)

O2 - BHO: (no name) - {D2CA6C88-DD6A-43B8-81A8-84D97E8DA063} - C:\WINDOWS\System32\nnnom.dll (file missing)

O2 - BHO: (no name) - {DB128EAC-5608-4020-8C46-B63FFFDE1574} - (no file)

O2 - BHO: (no name) - {EB054188-9FF9-4E36-BD49-1CBF4A27132A} - (no file)

O2 - BHO: (no name) - {F4F73FFA-7D28-42EC-891E-F7E0C23189B9} - (no file)

O2 - BHO: (no name) - {F5DF1019-CA98-4DD5-88B3-02B10BD19AB2} - (no file)

O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll (file missing)

O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)

Klaus,
deinen PC geht es wicklich nicht Gut.
Ob hier eine Not-OP noch hilft?
Oder anders gesagt, das ist ein Totalschaden!

Wie langschlaefer sagte, fixe diese Einträge aus dem Logfile of HijackThis. Meine Liste ist um paar Einträge ergänzt.
Achtung!
Es ist möglich das Windows danach nicht mehr bootet,
weil Malware die Windowsinstalltion erheblich verändert hat.


O2 - BHO: (no name) - {0C9E9415-21B3-4DE5-915E-3A2A76DB2EA7} - (no file)
O2 - BHO: (no name) - {0E7AB073-831D-4D32-9475-3070BD8D65C2} - (no file)
O2 - BHO: (no name) - {179CC211-4B77-4912-AB15-0C7E9166DEB8} - (no file)
O2 - BHO: (no name) - {1B81D81A-E422-49B4-A582-DB44A76A799D} - (no file)
O2 - BHO: (no name) - {1D2E4D9D-9FF1-415E-B463-1353688BCF5D} - (no file)
O2 - BHO: (no name) - {1E4A752C-2DBA-4C95-AB5A-DA0F15796B1A} - (no file)
O2 - BHO: (no name) - {21680F2C-D0C0-40F1-A9A1-B62E8F2A870A} - (no file)
O2 - BHO: (no name) - {2AD08322-6ACD-45E3-B5BD-10501DCC108D} - (no file)
O2 - BHO: (no name) - {2B909636-807E-48DC-AC0D-60B74ECBE634} - (no file)
O2 - BHO: (no name) - {2E478596-55EA-42E4-8E6B-932935225FCB} - (no file)
O2 - BHO: (no name) - {348A6107-0C33-4ABB-B723-E71096FAAE41} - (no file)
O2 - BHO: (no name) - {3C49462E-3D7D-4F9C-9D81-F48A75967D17} - (no file)
O2 - BHO: (no name) - {48AAB019-090B-4E9E-AF0B-C48E00E060B4} - (no file)
O2 - BHO: (no name) - {49198729-BB60-4248-A615-8BEC2696F066} - (no file)
O2 - BHO: (no name) - {4F5F3262-25C6-4E46-B8E4-D453EB128D7D} - (no file)
O2 - BHO: (no name) - {4FDB5CE1-0DDC-4A9C-B9FC-8D961D2C7787} - (no file)
O2 - BHO: (no name) - {566683ED-C339-45A9-8512-A3E2657F0D05} - (no file)
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\System32\qanlyhqi.dll (file missing)
O2 - BHO: (no name) - {59424AF5-71D1-4677-8FDF-D5E1C028E4D5} - (no file)
O2 - BHO: (no name) - {5F7FBCDD-68AD-4943-8721-C5BF67AF5F1C} - (no file)
O2 - BHO: (no name) - {5FED802E-CAB2-4162-89AE-F50A12A473FC} - (no file)
O2 - BHO: (no name) - {65E77411-89AC-4209-914B-29E5FACFA99E} - (no file)
O2 - BHO: (no name) - {7D564E6E-64A1-4329-A301-C75A2B170721} - (no file)
O2 - BHO: (no name) - {7F82F38B-F805-484F-914A-89782E378FE7} - (no file)
O2 - BHO: (no name) - {7F9ED87D-F78D-4C7C-9DC9-9E1E87C36592} - (no file)
O2 - BHO: (no name) - {8120969A-8D0A-4E94-938A-1A058CBA29CC} - (no file)
O2 - BHO: (no name) - {8F82EA18-17E3-4908-99F2-A188DE56DD81} - (no file)
O2 - BHO: (no name) - {98D5C36D-1174-4CDB-9785-A95A47722E4C} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\cbxuvus.dll
O2 - BHO: (no name) - {A112FB60-CFF1-4BE3-85D3-80D3B6D8C467} - (no file)
O2 - BHO: (no name) - {AA83019C-E4E7-4A9A-849E-3854EF94EB83} - (no file)
O2 - BHO: (no name) - {B93415D9-6C8C-4161-A134-4988D0E035A2} - (no file)
O2 - BHO: (no name) - {BC1B76C6-918D-404D-A89F-0761D049507D} - (no file)
O2 - BHO: (no name) - {BCC91B53-9A68-4DEB-AC64-BC28DB1F5789} - (no file)
O2 - BHO: (no name) - {C4B6636F-314F-4127-AC2A-6A1673DB8129} - (no file)
O2 - BHO: (no name) - {C696BB29-78F4-4D97-92D8-645F97504252} - (no file)
O2 - BHO: (no name) - {CACE8F84-0D24-42A9-B80E-D7BE1F9DA7D4} - (no file)
O2 - BHO: (no name) - {CCC4C3E6-3E15-4812-9993-CBAF929FC368} - (no file)
O2 - BHO: (no name) - {D0A60D0C-3846-47A8-90C5-94A1E72E0301} - (no file)
O2 - BHO: (no name) - {D105B124-FA02-4800-9D4F-30E4EF59E0FD} - (no file)
O2 - BHO: (no name) - {D2CA6C88-DD6A-43B8-81A8-84D97E8DA063} - C:\WINDOWS\System32\nnnom.dll (file missing)
O2 - BHO: (no name) - {DB128EAC-5608-4020-8C46-B63FFFDE1574} - (no file)
O2 - BHO: (no name) - {EB054188-9FF9-4E36-BD49-1CBF4A27132A} - (no file)
O2 - BHO: (no name) - {F4F73FFA-7D28-42EC-891E-F7E0C23189B9} - (no file)
O2 - BHO: (no name) - {F5DF1019-CA98-4DD5-88B3-02B10BD19AB2} - (no file)
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\vcnpnf.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] ctfmom.exe
O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] ctfmom.exe
O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe
O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe
O20 - Winlogon Notify: nnnom - C:\WINDOWS\System32\nnnom.dll (file missing)
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)


Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Boote danach den PC und erstelle ein neues Logfile of HijackThis, poste dieser hier.
Nochmal die Frage:
Ist dein Windows XP eine Raubkopie?
Eine Antwort darauf wäre wichtig für die weitere Hilfe die du benötigst.