Trojaner / Virus / Spyware

hallo.
1. malwareBytes quickscan reicht erst mal:
http://virus-protect.org/artikel/tools/malwarebytes.html
Starte falls gefordert neu.
2. Combofix:

http://virus-protect.org/artikel/tools/combofix.html
ausfüren log posten. Starte danach deinen PC neu
3. Hijackthis:
http://virus-protect.org/hjtkurz.html
poste das log + teile mit, wie dein PC läuft.
PS Das MalwareBytes Log möchte ich auch sehen.

Hallo,

erst mal danke für die schnelle Antwort.
Beim ersten scan mit Anti Malware stürtzte der Rechner wieder ab (gleiche Blue Screen Meldung). Ich habe es ein zweites mal versucht und dann hat es geklappt. 96 Infektionen wurden entfernt.

Aktuell läuft jetzt combofix

Log file von Anti Maleware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1768
Windows 5.1.2600 Service Pack 2

17.02.2009 12:28:36
mbam-log-2009-02-17 (12-28-29).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 91401
Laufzeit: 6 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 9
Infizierte Dateien: 63

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0cf67c3e-7815-4403-81e6-b918b8f0a500} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0cf67c3e-7815-4403-81e6-b918b8f0a500} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7f92d62-fde7-4a10-b27a-3e6e51fe3cdc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c7f92d62-fde7-4a10-b27a-3e6e51fe3cdc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wegomilode (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmefa34161 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Service Agent (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\db (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\report (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\res2 (Adware.Shopping.Report) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\aryfra.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hjteukvr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rvkuetjh.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hofegope.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\epogefoh.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hsdqquel.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\leuqqdsh.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jlbrcccv.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vcccrblj.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kpgeycfb.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bfcyegpk.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lvamyslv.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vlsymavl.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ojwskqjr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rjqkswjo.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\otjwbuxd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dxubwjto.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rhuycbch.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hcbcyuhr.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rwxybusv.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vsubyxwr.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tvxtvtax.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\xatvtxvt.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wmnunrhd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dhrnunmw.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\xagaftmv.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vmtfagax.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\yrchdwej.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jewdhcry.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tumaveko.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bogogife.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jatipife.dll.tmp (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hevotuza.dll.tmp (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\povisema.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ShoppingReport\cs\persist.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\persist.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs (Adware.Shopping.Report) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Lokale Einstellungen\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Rena\Lokale Einstellungen\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\mousehook.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\npqss.bak1 (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\npqss.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\senekacctykdul.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekajnkqsmuw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekanuabfdka.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekaoesplvdq.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekaxjywxnhd.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\seneka.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\senekaktqstqcb.sys (Trojan.Agent) -> No action taken.
 

ich hoffe du hast löschen gewählt am ende. wenn nicht, kannst gleich noch mal scannen (wenn combofix fertig ist)

Daten sichern und neuinstalieren,auch wenn das anwenden von irgendwelchen zaubertools das system angeblich reinigt.Diese tools entfernen nicht die änderungen,den die schadpogramme angerichtet haben.
aber Du kannst gerne auf die einflüsterungen der voodoo priester hören,ist Deine freizeit.

Hiho,

das sicherste wäre jetzt Formatieren.
Sichere alle WICHTIGEN Datein wie z.b Musik,Bilder,Dokumente...auf einen USB Stick oder einer externen Festplatte.Vor den einspielen dann mit einem oder zwei Virenscanner überprüfen.

Anleitung für eine Neuaufsetzung



Das system solltes dun echt neu machen,das bekommst du nicht mehr richtig gereinigt,auch wenn alles wieder gehen sollte heist das nicht das auch alles wieder weg ist,zu 80 % bleibt dein system versucht und du merkst es nicht.

sag mal hatst du den text irgendwo gespeichert @gast...
bei vundo bin ich eher net für formatieren... ich wollte aber das combofixlog aus 2 gründen:
1. evtl. backdoor. Dann muss formatiert werden.
2. unbekannte dateien, müssen gesichert und an antivirenhersteller weitergeleitet werden.
 

Hallo,

leider hat der Rechner Combofix nicht ganz ausgeführt. Es erscheinte die Meldung "Starte Windows neu - Bitte warten" aber der PC machte an dieser stelle nicht weiter.
Wahrscheinlich habe ich aus diesem Grund auch die Log file nicht finden können. Hat jemand einen Tipp wie ich den kompletten Scan mit combo Fix hinbekomme?

Log file Micro Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:35, on 2009-02-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: (no name) - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\explorer.exe,
O2 - BHO: (no name) - {75EE45FD-72FD-4DA7-A152-3CAA9896F949} - C:\WINDOWS\system32\iifdbARk.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7DF64A08-5C35-4E6C-A195-6F4D2F66E229} - C:\WINDOWS\system32\efcbYqQK.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Programme\802.11 Wireless LAN\802.11g USB 2.0 WLAN Dongle\WlanCU.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O20 - Winlogon Notify: ddcCSLBt - ddcCSLBt.dll (file missing)
O20 - Winlogon Notify: ljJBsQhe - ljJBsQhe.dll (file missing)
O20 - Winlogon Notify: xxyyxwx - xxyyxwx.dll (file missing)
O23 - Service: Norton2009 Reset (.norton2009Reset) - Unknown owner - C:\Programme\Norton2009Reset.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12562 bytes
 

starte deinen pc in den abgesicherten modus und führe combofix erneut aus.

@markusg:
 

sag mal hatst du den text irgendwo gespeichert @gast...

Hallo,

auch im abgesicherten Modus laüft Combofix nicht.
Ich denke du hast mir genug geholfen. Der PC läuft wieder. Auch wenn ich alles neu installieren muss hast du mir noch etwas Zeit verschafft und ich kann alle Daten sichern. Nochmal Danke.

@woo__
Formatieren halte und hielt ich in deinem Fall für das beste, nicht wegen Vundo sondern wegen Backdoor.
Wenn du irgendwelche onlinebanking oder sonstigen geldgeschefte betreibst, teile es den banken instituten mit!
1. endere von einem sauberen Rechner aus all deine Passwörter!
2. Lege nach dem formatieren ein eingeschrenktes nutzerkonto an! Arbeite und surfe damit. Das Adminkonto nur nutzen wenn es net anders geht!
Dafür arbeitsplatz,systemsteuerung benutzerkonten und dort einrichten.
2. Lade dir (das währe der idealfall) von einem anderen Rechner ein antivirenprogramm, spiele es auf, befor die erste Verbindung ins Internet besteht!
3. Update dein antivirenprogramm sofort nach dem einrichten der internetverbindung. Danach sofort windows update aufsuchen sp3 drauf und ie 7 alle andern wichtigen updates auch!
Windows updates gibt es jeden 2 dienstag im monat, sie sollten Zeitnahe eingespielt werden!
4. als ergänzung hohle dir malwarebytes. Beide solltest du ein mal pro woche scannen lassen. MalwareBytes reicht quick scan.
5. restliche software ein mal pro Monat überprüfen auf updates:
www.pcwelt.de/downloads/datenschutz/sicherheit/88366/secunia_personal_software_inspector_psi/ - 54k -
dies ist nötig, da diese auch Sicherheitslücken enthalten kann, die geschlossen werden muss
6. hirn beim surfen einschalten ;-) wenn du eine datei lädst, und ich möchte dir damit nichts forwerfen, die dir unseriös erscheint oder bei der du dir nicht sicher bist, prüfe sie hier:
http://www.virustotal.com/en/indexf.html
ja dann noch viel spaß beim surfen ;-)

@Carpenter
Ich versuche meine "Arbeit" ordentlich zu machen ich habe Erfahrung in dem bereich und weiß, dass meist das bloße scannen mit Antivirenprogramm und das Prüfen eines hjt-logs nicht reicht. Malware wird halt immer aufwändiger.
ja, ich meinte gast w.
Naja treffer landet er, weil er durch alle Threads geht und das selbe schreibt ;-)
Es sieht so aus, als dürfte er nur nachmittags für ein viertel Stündchen an den Rechner ;-)
Gruß
Markus
 

habe auch ein problem mein norton antivirus erkennt " A2SRCHAS.DLL " dateityp Programmbibliothek " als virus / trojaner / spyware an kann diesen file aber nicht löschen und Hijach This erkennt diesen auch als gefährlich an kann ihn aber auch nicht löschen

wer kann mir helfen ??? 

Erstelle bitte einen neuen Thread.

Danke

Nochmal danke für die ausführlichen Informationen.