Habe ich einen Virus oder Trojaner?

Thema ist geschlossen!
Thema ist geschlossen!
15.07.2008, 19:30
...neu hier

Beiträge: 3
#1 Hallo zusammen,

Als erstes, ich habe meinen XP-PC geschützt mit AVG Antivirus Free 8.0, Windows Defender und Comodo Firewall.
Ich habe heute turnusmäßig Spybot S&D laufen lassen, welcher mir einen Trojaner gefunden hat. Dieser wurde auch erfolgreich entfernt. Der Windows Defender hat übrigens nichts gefunden. Stutzig gemacht hat mich, dass die Prozessorauslastung auch im Leerlauf bei 100% war. Ich habe dann ein wenig "gegooglet" und bin auch über den Trojaner "bhobj.dll" gestolpert. Ich habe gleich danach gesucht, doch unter C:\Windows nichts gefunden. Allerdings sind zwei Einträge in der Registry vorhanden.
Einmal unter:
HKEY_CURRENT_User\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll den Wert 000
und noch einmal unter HKEY_USERS\S-1-5-21-2025429265-103552544-839522115-1003\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll ebenfalls den Wert 000
Dann habe ich diverse Scanner testen lassen:
PrevxCSI hat nichts gefunden, aber der RegRun Reanimator. Bei drei Einträgen gibt es Schwierigkeiten:
1. "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -OSINT -url "%!"
2. C:\Windows\system32\userinit.exe
3. system32\drivers\tsirmirc.sys
V.a. die letzte Datei findet man auch als Schädling. Ist das so?
Ich habe dann noch den CCleaner laufen lassen und log-Dateien erstellen lassen mit Anti-Malware (hat auch noch was gefunden) und HiJackThis. Hier mal die Logs:

Zuerst der von Anti-Malware:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 953
Windows 5.1.2600 Service Pack 3

18:29:25 15.07.2008
mbam-log-7-15-2008 (18-29-25).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 125615
Scan Dauer: 39 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
-----------------

Und der von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:41:24, on 15.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\PrevxCSI\prevxcsi.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\UPHClean\uphclean.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Dokumente und Einstellungen\Martin\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187762727015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206429337921
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 7629 bytes

-------------------------------------------------------------------------------------------

habe ich einen Virus oder Trojaner? Bitte helft mir, denn ehrlich gesagt, so im Regen bin ich bisher noch nicht gestanden.
Vielen Dank schon einmal!

Viele Grüße,
Martin
Dieser Beitrag wurde am 15.07.2008 um 19:35 Uhr von Ratsuchender editiert.
Seitenanfang Seitenende
15.07.2008, 22:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Ratsuchender

die sys ist in der Tat unbekannt, wende bitte Combofix an , klicke die Warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 09:28
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina,

ich habe Combofix angwendet. Hier die Log-Datei:

ComboFix 08-07-14.2 - Martin 2008-07-16 9:04:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1332 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 ))))))))))))))))))))))))))))))
.

2008-07-15 20:20 . 2008-07-15 20:20 <DIR> d-------- C:\Programme\Sun
2008-07-15 17:46 . 2008-07-15 17:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 17:46 . 2008-07-15 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Malwarebytes
2008-07-15 17:46 . 2008-07-15 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 17:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 17:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 17:39 . 2008-07-15 17:40 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 17:17 . 2008-07-15 17:17 <DIR> d-------- C:\Programme\PrevxCSI
2008-07-15 17:17 . 2008-07-15 17:17 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-07-15 17:16 . 2008-07-15 18:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-07-15 16:23 . 2008-07-15 16:23 30,946 --a------ C:\WINDOWS\system32\drivers\Partizan.sys
2008-07-15 16:23 . 2008-07-15 16:23 28,672 --a------ C:\WINDOWS\system32\Partizan.exe
2008-07-15 16:20 . 2008-07-15 16:20 (2) -rahs-ot- C:\WINDOWS\winstart.bat
2008-07-14 16:30 . 2008-07-14 16:37 <DIR> d-------- C:\Programme\XMPEG
2008-07-14 13:37 . 2008-07-14 13:37 <DIR> d-------- C:\WINDOWS\system32\windows media
2008-07-09 10:58 . 2008-07-09 10:58 <DIR> d-------- C:\Programme\COMODO
2008-07-09 10:58 . 2008-07-09 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Comodo
2008-07-09 10:58 . 2008-07-09 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-07-09 10:58 . 2008-07-09 10:58 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-07-09 10:58 . 2008-07-09 10:58 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-07-09 10:58 . 2008-07-09 10:58 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 06:59 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-07-15 15:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-15 15:36 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype
2008-07-15 14:16 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-15 13:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-15 09:54 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\OpenOffice.org2
2008-07-15 09:48 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-07-15 09:44 --------- d-----w C:\Programme\Java
2008-07-15 06:46 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM
2008-07-09 08:52 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\MailFrontier
2008-07-03 06:07 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-02 15:11 --------- d-----w C:\Programme\SPSS
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-20 06:20 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-25 10:48 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-03 08:07 1232152]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-07-09 10:58 1655552]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.exe]
"SMSERIAL"="sm56hlpr.exe" [2006-01-20 12:34 544768 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 19:29 39264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LRZ VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LRZ VPN Client.lnk
backup=C:\WINDOWS\pss\LRZ VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-01-02 17:41 45056 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair]
--a------ 2002-12-10 18:32 155648 C:\Programme\Logitech\ImageStudio\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray]
--a------ 2002-12-10 18:31 61440 C:\Programme\Logitech\ImageStudio\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMS]
--a------ 2002-12-10 17:54 127022 C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVComS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\eurowin\\FOCUS-MONEY\\MAXTAX.exe"=
"C:\\Programme\\eurowin\\FOCUS-MONEY\\STMAXTAX.exe"=
"C:\\Programme\\eurowin\\FOCUS-MONEY\\Update.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 15:00]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 16:01]
R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-07-15 17:17]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-03 08:07]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-07-09 10:58]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-07-09 10:58]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-03 08:07]
R2 CSIScanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-07-15 17:17]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\system32\drivers\lvsound2.sys [2002-06-10 14:20]
S3 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys [2008-07-15 16:23]
S3 QCEmerald;Logitech QuickCam Web(PID_0850);C:\WINDOWS\system32\DRIVERS\LVCE.sys [2002-06-10 14:20]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-01 13:27:12 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-07-16 07:12:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-WinampAgent - C:\Programme\Winamp\winampa.exe
MSConfigStartUp-WireLessKeyboard - C:\Programme\Office Keyboard Driver\StartAutorun.exe
MSConfigStartUp-WireLessMouse - C:\Programme\Office Mouse Driver\StartAutorun.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 09:09:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\BRSVC01A.EXE
C:\WINDOWS\system32\BRSS01A.EXE
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\ati2evxx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-16 9:16:11 - machine was rebooted [Martin]
ComboFix-quarantined-files.txt 2008-07-16 07:15:05

9 Verzeichnis(se), 11,063,906,304 Bytes frei
11 Verzeichnis(se), 10,971,394,048 Bytes frei

167 --- E O F --- 2008-07-14 06:45:41


Ich hoffe das hilft weiter!

Wie ist das eigentlich noch mit der "bhobj.dll"? Hier:
HKEY_CURRENT_User\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll den Wert 000
und hier:
HKEY_USERS\S-1-5-21-2025429265-103552544-839522115-1003\Software\Microsoft\Search Assistant\ACMrv\5603 --> hier hat bhobj.dll ebenfalls den Wert 000

"userinit.exe" und "-requestPending -OSINT -url" sind die beiden ok?

Vielen Dank schonmal für Deine Hilfe und dass Deine Antwort so schnell kam!

Viele Grüße,
Martin
Seitenanfang Seitenende
16.07.2008, 11:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo, Ratsuchender

die Reg-Einträge sind in Ordnung, prüfe bitte die sys.

1.
versteckte Systemdateien Programme und Ordner anzeigen
http://virus-protect.org/invisible.html

2.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\drivers\tsirmirc.sys


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 14:41
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo Sabina,

die Datei "tsircmir.sys" ist auf C:\WINDOWS\system32\drivers nicht existent! Ich habe die Ansicht im Explorer so eingestellt, dass alle Dateien inkl. der Systemdateine und der versteckten angezeigt. War nicht zu finden.
Auch die Online Scans von Bitdefender und Kaspersky haben nichts zu Tage gefördert. Nach einem weiteren Scan mit RegRun Reanimator war ebenfalls nichts mehr zu finden. Ich denke mal, dass es kein Problem mehr geben sollte auch deshalb, da ich jetzt ja von dir weiß, dass die Registry in Ordnung ist. Vielen, vielen Dank noch mal dafür!
Solltest Du noch einen Einwand haben, dann melde Dich einfach noch mal. ei der großartigen Hilfe hier, sollten fast alle Probleme behebbar sein!

Ganz viele Grüße und nochmal tausend Dank für die Hilfe!
Martin
Seitenanfang Seitenende