Ja das ist korrekt, jedoch denke ich wie ich gelesen habe, dass genau der den vundofix hoffentlich findet, der grund für die immer wiederkehrenden viren ist.
Hier noch der Link für das Windows XP Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Lade die Datei erst herunter wenn die Reinigung erfolgreich beendet wurde und brenne die sie für spätere “Einsätze“ auf eine CD.
Beachte, das je nach PC, das Einspielen aller Updates über 2 Stunden dauern kann und der PC mehrfach gebootet werden muss.
So, jetzt ist aber für mich auf diesem Kanal Sendepause- Guten Nacht !
hi leute, sorry das ich mich jetzt erst wieder melde aber mein rechner hat mich heute nacht nicht mehr online gelassen... 
also, stand der dinge:
vundofix lief durch, hat gefunden, entfernt und neu gebootet. danach lief der rechner gut, aber ich kam nicht mehr ins net. hab dann offline den antivir durchlaufen lassen, kein fund. danach nochmal den hijack-log erstellt, beide berichte unten. soll ich lieber nochmal aktuelle erstellen? sind beide von heute nacht...
nach einer kurzen nachtruhe für mich und meinen pc darf ich jetzt auch wieder ins net, keine ahnung warum...;-)
wie soll's jetzt weiter gehen? das war's doch bestimmt noch nicht, das wär zu schön um wahr zu sein...
vielen lieben dank auf jeden fall schonmal bis hierhin, ohne euch wär mein rechner wohl nicht mehr wirklich am laufen...^^
ein aktueller f-secure-scan läuft gerade...
=======================================
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 2. Mai 2007 23:52
Es wird nach 761729 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: Administrator
Computername: YOUR-KMY8MDJ56U
Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 15:57:09
AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 15:57:09
LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 15:57:10
LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 15:57:10
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 22:28:33
ANTIVIR2.VDF : 6.38.1.56 1022976 Bytes 27.04.2007 16:20:57
ANTIVIR3.VDF : 6.38.1.81 52224 Bytes 02.05.2007 17:15:51
AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 24.04.2007 16:04:19
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 15:57:09
AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 15:57:09
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 15:57:11
AVPACK32.DLL : 7.3.0.8 360488 Bytes 06.04.2007 22:28:34
AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 15:57:09
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 15:57:08
AVARKT.DLL : 1.0.0.12 274472 Bytes 21.04.2007 15:57:07
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 15:57:10
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 15:57:01
RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 15:57:02
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Mittwoch, 2. Mai 2007 23:52
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'ehRec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '14' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.
Ende des Suchlaufs: Donnerstag, 3. Mai 2007 00:09
Benötigte Zeit: 17:00 min
Der Suchlauf wurde vollständig durchgeführt.
2369 Verzeichnisse wurden überprüft
78522 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
78522 Dateien ohne Befall
639 Archive wurden durchsucht
2 Warnungen
34 Hinweise
0 Versteckte Objekte wurden gefunden
===============================
Logfile of HijackThis v1.99.1
Scan saved at 00:10:56, on 03.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
================================================
so, hier noch der f-secure-bericht:
wieder vier funde, wieder viermal nichts damit gemacht worden... 
ich hoffe, ich komme nachher wieder ins netz - muss gleich mal für ein paar stunden weg...
Scanning Report
Thursday, May 03, 2007 10:04:35 - 10:46:38
Computer name: YOUR-KMY8MDJ56U
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
Result: 4 malware found
Text/BotFTP.gen (virus)
* C:\WINDOWS\SYSTEM32\I
Vundo.gen17 (virus)
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-215019-609.DLL
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-224844-486.DLL
W32/Poebot.ARD (virus)
* C:\WINDOWS\SYSTEM32\TFTP3916
Statistics
Scanned:
* Files: 18410
* System: 3428
* Not scanned: 3
Actions:
* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 4
* Submitted: 0
Files not scanned:
* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
Options
Scanning engines:
* F-Secure Libra: 2.4.2, 2007-05-01
* F-Secure AVP: 7.0.171, 2007-05-03
* F-Secure Orion: 1.2.37, 2007-05-03
* F-Secure Blacklight: 1.0.53, 0000-00-00
* F-Secure Draco: 1.0.35, 0260-23-12
* F-Secure Pegasus: 1.19.0, 2007-03-25
Scanning options:
* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics
==============================================
noch der aktuelle hijack-log:
Logfile of HijackThis v1.99.1
Scan saved at 10:00:53, on 03.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80E6ADE5-70ED-4C41-B9C0-6531FA9B57B0}: NameServer = 213.191.92.86 213.191.74.18
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
N ja aslo bis auf dioesen Eintrag hier ist dein aktueller hijacklog auf jedenfall sauberer und besser als gestern.
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing
woran der erneute virusfund hängt, wird mir langsam mysteriös.
nimm auf jedenfall mal ein anderes antivirenprogramm.
Kann aber auch sein, dass Du ohne das service pack 2 diesen Mist nie wieder richtig wegbekommst.
Auch wenn es nicht die empfohlene Vorgehensweise ist, empfehle ich in deinem fall dir, jetzt trotz der viren, dir das sp2 drauf zu hauen. Vielleicht ist dein system danach gefeiter und du kannst dann mit vundofix und deinem antivirenprogramm, die geschichte ein für alle mal beenden.
Ist aber nur eine idee.
hier nochmal der link fürs SP2 von Help
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Denn wenn dein system nicht ausreichend geschützt wird durch SP2 wird dieser virus immer wieder kommen.
Versuch Dein glück, denn ich bin soweit ratlos jetzt.
Und wenn alles nichts hilft. Sichere die wichtigsten daten und spiel windows neu rauf. Nur als letzte instanz.
Sorry, das ich da jetzt nicht mehr machen kann.
mfg Bernd
so, da bin ich wieder. rechner bootet normal und antivir meldet erstmal nix, hab aber noch keinen erneuten scan gemacht...
@bernd: der neue virenfund war ja über den f-secure-scan entdeckt worden, antivir hatte nix gefunden. du sagtest, ich solle mal ein anderes virenprogramm probieren - hast da ne empfehlung?
soll ich also das risiko eingehen und jetzt schon das sp2 draufhauen?
und soll ich den einen eintrag noch versuchen über hijack zu fixen? ich mach erstmal noch ein aktuelles logfile...
gruss klaus
aktueller hijack-log:
Logfile of HijackThis v1.99.1
Scan saved at 15:22:54, on 03.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80E6ADE5-70ED-4C41-B9C0-6531FA9B57B0}: NameServer = 213.191.92.86 213.191.74.18
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Server Management Services (Server Management Services) - Unknown owner - C:\WINDOWS\sysrss32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
also diesen 023er sysrss32.exe fixen?
75klaus
Das sind keine neue Funde sondern noch die alten!
Führe noch Avenger aus und poste den Bericht.
***Diese Zeile nicht mitkopieren!***
Files to delete:
C:\WINDOWS\system32\nnnom.dll
C:\WINDOWS\system32\cbxuvus.dll
C:\WINDOWS\System32\fminqngi.dll
C:\WINDOWS\sysrss32.exe
C:\WINDOWS\System32\winmgrd.exe
C:\WINDOWS\SYSTEM32\AWTUUVU.DLL
C:\WINDOWS\SYSTEM32\CBXUVUS.DLL
C:\WINDOWS\SYSTEM32\FCCBYYX.DLL
C:\WINDOWS\SYSTEM32\JKKKKJK.DLL
C:\WINDOWS\SYSTEM32\LJJJHII.DLL
C:\WINDOWS\SYSTEM32\PMNLLML.DLL
C:\WINDOWS\SYSTEM32\PMNOMNO.DLL
C:\WINDOWS\SYSTEM32\TUVWVSQ.DLL
C:\WINDOWS\SYSTEM32\URQPQOP.DLL
C:\WINDOWS\SYSTEM32\TFTP3916
C:\WINDOWS\SYSTEM32\I
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-215019-609.DLL
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-224844-486.DLL
***Diese Zeile nicht mitkopieren!***
Danach scanne den PC mit dem Panda Online Scanner:
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Und noch einmal mit F-Secure.
Poste beide Scanberichte!
ich wieder...^^
sp2 ist aufgespielt, avenger wurde durchgeführt, der bericht:
online-scan wird gleich gestartet...
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\whtkrmmx
*******************
Script file located at: \??\C:\WINDOWS\eidjggdi.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\nnnom.dll not found!
Deletion of file C:\WINDOWS\system32\nnnom.dll failed!
Could not process line:
C:\WINDOWS\system32\nnnom.dll
Status: 0xc0000034
File C:\WINDOWS\system32\cbxuvus.dll not found!
Deletion of file C:\WINDOWS\system32\cbxuvus.dll failed!
Could not process line:
C:\WINDOWS\system32\cbxuvus.dll
Status: 0xc0000034
File C:\WINDOWS\System32\fminqngi.dll not found!
Deletion of file C:\WINDOWS\System32\fminqngi.dll failed!
Could not process line:
C:\WINDOWS\System32\fminqngi.dll
Status: 0xc0000034
File C:\WINDOWS\sysrss32.exe not found!
Deletion of file C:\WINDOWS\sysrss32.exe failed!
Could not process line:
C:\WINDOWS\sysrss32.exe
Status: 0xc0000034
File C:\WINDOWS\System32\winmgrd.exe not found!
Deletion of file C:\WINDOWS\System32\winmgrd.exe failed!
Could not process line:
C:\WINDOWS\System32\winmgrd.exe
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\AWTUUVU.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\AWTUUVU.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\AWTUUVU.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\CBXUVUS.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\CBXUVUS.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\CBXUVUS.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\FCCBYYX.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\FCCBYYX.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\FCCBYYX.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\JKKKKJK.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\JKKKKJK.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\JKKKKJK.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\LJJJHII.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\LJJJHII.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\LJJJHII.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\PMNLLML.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\PMNLLML.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\PMNLLML.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\PMNOMNO.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\PMNOMNO.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\PMNOMNO.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\TUVWVSQ.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\TUVWVSQ.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\TUVWVSQ.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\URQPQOP.DLL not found!
Deletion of file C:\WINDOWS\SYSTEM32\URQPQOP.DLL failed!
Could not process line:
C:\WINDOWS\SYSTEM32\URQPQOP.DLL
Status: 0xc0000034
File C:\WINDOWS\SYSTEM32\TFTP3916 deleted successfully.
File C:\WINDOWS\SYSTEM32\I deleted successfully.
File C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-215019-609.DLL deleted successfully.
File C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\HIJACKTHIS_199\BACKUPS\BACKUP-20070502-224844-486.DLL deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
das wär sooo schön... 
momentan is f-secure noch bei null, läuft aber noch...
*aufholzklopf*
aber der andere scan, dieser panda-dingens hat nich geklappt. den hatte ich zuerst versucht, aber hat mehrfach nich geklappt...
naja, mal gucken was f-secure sagt...
| « PC spielt Akte X musik ab | SMS-Spam von v762.net » | ||
Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!
| Mehr Themen zu "TRVundoGen Trojaner Bitte hilft mir"
