four2one.virus - versteut sich in mehrer Dateien, wie bekomme ich ihn weg?

#1 Hallo,
ich habe einen sehr hartnäckigen Virus, Trojaner o. ä. auf meinem Laptop (Asus, eeePC, auf einer externen Festplatte und auf dem Speicherstick), mit Namen four2one. Er öffnet sich über ein Bild, was auf meinem Rechner immer wieder im Explorer erschien.
Dadurch war der Taskmanager nicht mehr aktiv, sowie die Ordneroptionen usw. Verschiedene Probleme konnten wir bereits teilweise beheben (nicht auf dem eeePC, externe Festplatte und Stick sind virenfrei), aber die regedit Datei unter System 32 ist nach wie vor fehlerhaft und lässt sich nicht verändern. Und die veränderte Datei msconfig konnten wir nicht finden. Ich selbst habe sehr wenig Ahnung, deshalb hat mir ein Freund weiter geholfen, der aber auch irgendwann nicht weiter wußte.
Im Netz ist bisher wenig zu finden, ich habe folgende Nachricht als Hilfe benutzt:

about four2one virus
A virus recently attack my company's desktop, suspected is from a USB thumb drive.
I need some help on recovery, I have managed to clear all virus file manually because ANTIVIR is not able to detect that as virus, and so do other brands.
I will tell you more about the virus first,
The virus in a thumb drive is hidden as system file, so you need to view hidden file including the system file unchecked.
You will see 4 files;
- four2one.vbs
- recycle.bin
- google.jpg
- autorun.inf

You can safely browse the thumb drive by right click open DO NOT double clicks on the icon. Once you double click it will run four2one.vbs and recycle.bin
when the virus is running the system processes will have a application running call four2one.exe which will run every time you start the computer, the virus will exempt to send information from your computer like html, explorer data, and etc... Places where password and ID is possibility stored.
The virus will copy fortune.dll, explorer.vbs, four2one.vbs into system32 folder.
The virus will copy google.htm and google.jpg into you C:\. If you have other drives it will copy the 4 files I mention above to all other drives and removable drive.

Your Task manager is disabled, folder option is gone from window tab and control panel also disabled if you happen to have a shortcut folder option.
Regedit.exe and msconfig.exe both the virus have change to run this 2 application using notepad by default. I manage to resolve this problem by coping this 2 application file to the desktop and rename it with any name you like with an .exe behind, run it and it works, so when I run regedit i manage to bring back task manager. you can do a search in regedit for four2one, twoone and delete any string found. as for the msconfig you should unchecked the four2one.exe at the startup tab. boot in safe mode and run full scan to delete virus found. ANTIVIR is not able to clear four2one.vbs, recycle.bin even in safe mode..


Meine Überlegung war jetzt ein neues Betriebssystem auf den eeePC zu spielen. Aber das ist natürlich die letzte Möglichkeit, aber auch der Laptop ist noch nicht ganz virenfrei...
Könnt Ihr mir irgendwie weiter helfen?? Das wär super!!
Vielen Dank im Vorraus
Nikstevie














Im Anhang sind die Daten des Laptops...

#2 Hallo,nikstevie

wende bitte Combofix an (klicke die Warnmeldung weg)
Nach Neustart erscheint ein Log - poste es bitte hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,
vielen Dank für Deine schnelle Nachricht, ich hoffe ich habe alles richtig gemacht....
Also bei meinem eeePC kam folgendes Ergebnis raus:

ComboFix 08-10-07.06 - Sasha Inglis 2008-10-08 18:16:22.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.661 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\localdate.dll
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 ))))))))))))))))))))))))))))))
.

2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner
2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-10-06 19:41 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 19:17 . 2008-10-08 18:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-05 20:07 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-09-21 19:55 . 2008-09-21 19:55 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-19 11:16 . 2008-08-10 19:33 18,858 -rahs---- C:\WINDOWS\system32\four2one.vbs
2008-09-19 11:16 . 2008-09-19 11:16 18,858 -rahs---- C:\WINDOWS\system32\Fortuna.dll
2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm
2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\google.htm
2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs
2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 15:47 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8
2008-09-30 20:09 --------- d-----w C:\Programme\Windows Live
2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat
2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype
2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM
2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-27 10:50 1,558,528 ----a-w C:\Programme\iview420g_setup.exe
2008-08-27 10:36 --------- d-----w C:\Programme\Avira
2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-27 10:26 25,093,328 ----a-w C:\Programme\antivir_workstation8.1.0.331_winu_de_h.exe
2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo
2008-08-13 18:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Template
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-09-24 100888]
"AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"MicrosoftSystem"="C:\WINDOWS\system32\four2one.vbs" [2008-08-10 18858]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]

C:\Dokumente und Einstellungen\Sasha Inglis\Startmen�\Programme\Autostart\
StarOffice 8.lnk - D:\Programme\Sun\StarOffice 8\program\quickstart.exe [2007-08-17 122880]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
AutoRun OSCleaner.lnk - C:\Programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-04-16 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720]
R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48aa-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - System\Security\DriveGuard.exe -run
\Shell\Explore\Command - System\Security\DriveGuard.exe -run
\Shell\Open\Command - System\Security\DriveGuard.exe -run

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b996c0c1-8305-11dd-a690-0015afa64934}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-06 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = c:\Google.htm
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
O8 -: &Windows Live Search - C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 18:18:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 18:19:52
ComboFix-quarantined-files.txt 2008-10-08 16:19:48

Vor Suchlauf: 54,673,408 Bytes frei
Nach Suchlauf: 54,591,488 Bytes frei

134 --- E O F --- 2008-09-30 20:10:02


Ich hoffe Du kannst mir weiter helfen,
lg Nikstevie

P.S. oben im ersten Beitrag sind die Daten vom Laptop im Anhang...

Danke,danke

#4 1.
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

2.
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip
http://virus-protect.org/artikel/spyware/vbs-remove.html

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b996c0c1-8305-11dd-a690-0015afa64934}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48aa-8299-11dd-a68f-0022151219c0}]

File::
C:\WINDOWS\system32\four2one.vbs
C:\WINDOWS\system32\recycle.vbs

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

««
scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi Sabina,
wie es aussieht sind alle infizierten Dateien entfernt und es wird nichts Neues mehr angesteckt...!!!!!!!!!!

Vielen Dank für die SUPER HILFE!!!!!!!!!
LG Nikstevie

#6 poste bitte noch mal ein neues Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ...tja, das würde ich gerne, aber weder bei dem Einen als bei dem anderen Rechner lässt sich Combofix mehr öffnen.
Hoffe, das ist kein schlechtes zeichen...

#8 ««
ComboFix entfernen
Ausführen bei Windows XP :

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
dann lade Combofix neu + poste den Report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hier der Logfile vom eeePC:

ComboFix 08-10-10.09 - Sasha Inglis 2008-10-11 18:55:09.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.706 [GMT 2:00]
Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe
* Created a new restore point

[COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR]
.

((((((((((((((((((((((((( Files Created from 2008-09-11 to 2008-10-11 )))))))))))))))))))))))))))))))
.

2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI
2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew
2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome
2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv
2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer
2008-10-10 02:10 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-10 02:10 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Programme\iTunes
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\iPod
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour
2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime
2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software
2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera
2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer
2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb
2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData
2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc
2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros
2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys
2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf
2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat
2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp
2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp
2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp
2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp
2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner
2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 19:17 . 2008-10-11 18:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-09-21 19:55 . 2008-10-11 18:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm
2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs
2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage
2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8
2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat
2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype
2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM
2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-27 10:36 --------- d-----w C:\Programme\Avira
2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo
2008-08-13 18:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Template
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [21.01.2000 10:15:54 65588]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk
backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720]
R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088]
R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48aa-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - System\Security\DriveGuard.exe -run
\Shell\Explore\Command - System\Security\DriveGuard.exe -run
\Shell\Open\Command - System\Security\DriveGuard.exe -run

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs
.
Contents of the 'Scheduled Tasks' folder

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 18:58:07
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-10-11 18:59:52
ComboFix-quarantined-files.txt 2008-10-11 16:59:46

Pre-Run: 500,961,280 Bytes frei
Post-Run: 491,073,536 Bytes frei

165 --- E O F --- 2008-10-10 01:15:28

Und hier der Logfile vom Laptop:

ComboFix 08-10-10.09 - Nikola Stevens 2008-10-11 19:08:36.3 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.590 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Nikola Stevens\Desktop\ComboFix1.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-10 03:34 . 2008-10-10 03:34 <DIR> d-------- C:\Programme\CCleaner
2008-10-09 20:33 . 2008-10-09 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\DoctorWeb
2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Programme\Lavasoft
2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-06 21:05 . 2008-10-06 21:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-06 20:05 . 2006-07-18 03:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 20:05 . 2006-07-18 03:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-10-06 20:05 . 2006-07-18 03:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 20:05 . 2008-10-06 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:13 . 2008-10-05 20:13 <DIR> d-------- C:\Programme\iTunes
2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Programme\iPod
2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-05 19:39 . 2008-10-05 19:39 <DIR> d-------- C:\Programme\QuickTime
2008-10-05 19:37 . 2008-10-05 19:37 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-05 19:22 . 2008-10-05 19:22 <DIR> d--hs---- C:\Dokumente und Einstellungen\Nikola Stevens\Phone Browser
2008-10-05 19:16 . 2008-10-05 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\DIFX
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\PC Suite
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\Nokia
2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\PC Connectivity Solution
2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\Nokia
2008-10-05 19:12 . 2007-02-22 10:15 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2008-10-05 19:12 . 2007-02-22 10:15 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-10-05 19:12 . 2007-02-22 10:15 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2008-10-05 19:12 . 2007-02-22 10:15 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2008-10-05 19:10 . 2008-10-05 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-10-04 02:11 . 2008-10-04 02:11 2,823,651 --a------ C:\WINDOWS\Reissdor.scr
2008-10-04 02:11 . 2008-10-04 02:09 2,547,320 --a------ C:\Programme\reissdorf_bildschirmschoner.zip
2008-10-04 02:11 . 2008-10-04 02:11 233,451 --a------ C:\WINDOWS\deinstallation Reissdor.exe
2008-09-30 23:23 . 2008-09-30 23:23 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-30 22:57 . 2008-09-30 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\CyberLink
2008-09-30 21:44 . 2008-05-10 11:07 36,439 -rah----- C:\WINDOWS\system32\Google.jpg
2008-09-30 21:44 . 2008-09-30 21:44 1,600 -rahs---- C:\WINDOWS\system32\google.htm
2008-09-29 15:34 . 2008-09-29 15:34 <DIR> d-------- C:\Programme\Bonjour

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 10:55 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-11 10:55 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-01-10 13:10 121,851 ----a-w C:\Programme\AB_Spr_1.zip
2007-12-26 10:37 54,330,664 ----a-w C:\Programme\iTunesSetup.exe
2007-12-23 09:26 166,912 ----a-w C:\Programme\Setup Karten leser.exe
2007-11-27 16:10 210,416 ----a-w C:\Programme\zaSetup_de.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-07-28 102400]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-09-23 7286784]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352]
"ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"Wireless Console"="C:\Programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-08-13 180269]
"EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-13 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"nwiz"="nwiz.exe" [2005-09-23 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-07-05 57088]
R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-09-17 27264]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 SmartSurferManager;SmartSurfer Manager;C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe [2007-12-18 132560]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a20f40f6-8f30-11dd-90ec-00166f98f1d7}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs
.
Inhalt des "geplante Tasks" Ordners

2008-10-11 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE []

2008-10-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\Mozilla\Firefox\Profiles\426oxagj.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 19:10:19
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-11 19:11:17
ComboFix-quarantined-files.txt 2008-10-11 17:11:12
ComboFix3.txt 2008-10-08 15:48:06
ComboFix2.txt 2008-10-09 17:53:00

Vor Suchlauf: 18 Verzeichnis(se), 27.659.141.120 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 27,651,309,568 Bytes frei

168 --- E O F --- 2008-10-06 21:21:18



Ich hoffe, du kannst Entwarnung geben.
Danke nochmals für die Hilfe...

Grüße
nik

#10 ««
noch mal:
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip

««
erstelle eine neue cfscript.txt - dann wieder auf das symbol von Combofix ziehen

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a20f40f6-8f30-11dd-90ec-00166f98f1d7}]

poste dann gleich das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Also, das ist das Log vom eeePC:

ComboFix 08-10-12.01 - Sasha Inglis 2008-10-13 19:51:45.7 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.726 [GMT 2:00]
Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\cfscript.txt.txt
* Created a new restore point

[COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR]

FILE ::
C:\WINDOWS\system32\four2one.vbs
C:\WINDOWS\system32\recycle.vbs
.

((((((((((((((((((((((((( Files Created from 2008-09-13 to 2008-10-13 )))))))))))))))))))))))))))))))
.

2008-10-11 20:21 . 2008-10-11 20:21 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-10-11 19:50 . 2008-10-11 19:50 <DIR> d-------- C:\Programme\Xvid
2008-10-11 19:50 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-10-11 19:50 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-10-11 19:50 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI
2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew
2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome
2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv
2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer
2008-10-10 02:10 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-10 02:10 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Programme\iTunes
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\iPod
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour
2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime
2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software
2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera
2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer
2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb
2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData
2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc
2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros
2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys
2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf
2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat
2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp
2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp
2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp
2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp
2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner
2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 19:17 . 2008-10-11 18:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-09-21 19:55 . 2008-10-11 18:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm
2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs
2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage
2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8
2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat
2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype
2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM
2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-27 10:36 --------- d-----w C:\Programme\Avira
2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo
2008-08-13 18:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Template
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-11_18.58.56.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-05-07 09:07:23 135,168 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\cscript.exe
+ 2008-05-09 10:50:14 512,000 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\jscript.dll
+ 2008-05-09 10:50:14 180,224 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\scrobj.dll
+ 2008-05-09 10:50:14 172,032 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\scrrun.dll
+ 2008-05-09 10:50:14 430,080 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\vbscript.dll
+ 2008-05-08 11:24:44 155,648 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\wscript.exe
+ 2008-05-09 10:50:14 90,112 ----a-w C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\wshext.dll
+ 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB951978\spmsg.dll
+ 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB951978\spuninst.exe
+ 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB951978\update\spcustom.dll
+ 2007-11-30 12:39:08 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
+ 2007-11-30 12:39:08 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB951978\update\updspapi.dll
- 2008-04-14 02:22:40 139,264 ----a-w C:\WINDOWS\system32\cscript.exe
+ 2008-05-07 09:07:23 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
+ 2008-05-07 09:07:23 135,168 -c----w C:\WINDOWS\system32\dllcache\cscript.exe
+ 2008-05-09 10:54:09 512,000 -c----w C:\WINDOWS\system32\dllcache\jscript.dll
+ 2008-05-09 10:54:10 180,224 -c----w C:\WINDOWS\system32\dllcache\scrobj.dll
+ 2008-05-09 10:54:10 172,032 -c----w C:\WINDOWS\system32\dllcache\scrrun.dll
+ 2008-05-09 10:54:10 430,080 -c----w C:\WINDOWS\system32\dllcache\vbscript.dll
+ 2008-05-08 11:24:44 155,648 -c----w C:\WINDOWS\system32\dllcache\wscript.exe
+ 2008-05-09 10:54:10 90,112 -c----w C:\WINDOWS\system32\dllcache\wshext.dll
+ 2008-07-17 00:12:47 28,672 ----a-w C:\WINDOWS\system32\drivers\VClone.sys
- 2008-04-14 02:22:13 512,000 ----a-w C:\WINDOWS\system32\jscript.dll
+ 2008-05-09 10:54:09 512,000 ----a-w C:\WINDOWS\system32\jscript.dll
+ 2008-03-25 03:21:18 2,889,088 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
+ 2008-03-25 03:21:20 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2008-10-11 17:29:31 70,264 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-10-11 16:47:18 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-10-13 17:21:46 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-10-11 16:47:18 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-10-13 17:21:46 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-10-11 16:47:18 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-10-13 17:21:46 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-10-11 16:47:19 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-10-13 17:21:46 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-04-14 02:22:23 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
+ 2008-05-09 10:54:10 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
- 2008-04-14 02:22:24 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
+ 2008-05-09 10:54:10 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
- 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:14 18,808 ------w C:\WINDOWS\system32\spmsg.dll
- 2008-04-14 02:22:31 434,176 ----a-w C:\WINDOWS\system32\vbscript.dll
+ 2008-05-09 10:54:10 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
- 2008-04-14 02:23:06 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
+ 2008-05-08 11:24:44 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
- 2008-04-14 02:22:32 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
+ 2008-05-09 10:54:10 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk
backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720]
R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088]
R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs
.
Contents of the 'Scheduled Tasks' folder

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 19:56:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxext.exe
.
**************************************************************************
.
Completion time: 2008-10-13 19:58:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-10-13 17:58:31

Pre-Run: 478,920,704 Bytes frei
Post-Run: 471,232,512 Bytes frei

228 --- E O F --- 2008-10-13 17:18:54





Am großen Laptop versuchen wir gerade den Virus vom Handy, von der Digitalkamera und vom iPod wegzukriegen. Beim iPod hat Antivir den Virus gefunden und hoffentlich beseitigt..

Gruß Nikola





Soooo, und nun kommt hier der Log vom Laptop:

ComboFix 08-10-12.01 - Nikola Stevens 2008-10-13 21:33:00.7 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.659 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Nikola Stevens\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Nikola Stevens\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-13 21:18 . 2008-10-13 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\SmartSurfer
2008-10-13 20:38 . 2008-10-13 20:38 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-10-13 19:58 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-10-13 19:58 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-10-13 11:18 . 2008-10-13 11:18 <DIR> d-------- C:\ComboFix1
2008-10-10 03:34 . 2008-10-10 03:34 <DIR> d-------- C:\Programme\CCleaner
2008-10-09 20:33 . 2008-10-09 20:33 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\DoctorWeb
2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Programme\Lavasoft
2008-10-06 21:06 . 2008-10-06 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-06 21:05 . 2008-10-06 21:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-06 20:05 . 2006-07-18 03:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 20:05 . 2006-07-18 03:45 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 20:05 . 2006-07-18 03:31 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-10-06 20:05 . 2006-07-18 03:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2008-10-06 20:05 . 2006-07-18 03:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 20:05 . 2008-10-06 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:13 . 2008-10-05 20:13 <DIR> d-------- C:\Programme\iTunes
2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Programme\iPod
2008-10-05 19:42 . 2008-10-05 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-05 19:39 . 2008-10-05 19:39 <DIR> d-------- C:\Programme\QuickTime
2008-10-05 19:37 . 2008-10-05 19:37 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-05 19:22 . 2008-10-05 19:22 <DIR> d--hs---- C:\Dokumente und Einstellungen\Nikola Stevens\Phone Browser
2008-10-05 19:16 . 2008-10-05 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Programme\DIFX
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\PC Suite
2008-10-05 19:13 . 2008-10-05 19:13 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\Nokia
2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\PC Connectivity Solution
2008-10-05 19:12 . 2008-10-05 19:12 <DIR> d-------- C:\Programme\Nokia
2008-10-05 19:12 . 2007-02-22 10:15 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2008-10-05 19:12 . 2007-02-22 10:15 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-10-05 19:12 . 2007-02-22 10:15 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2008-10-05 19:12 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2008-10-05 19:12 . 2007-02-22 10:15 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2008-10-05 19:10 . 2008-10-05 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-10-04 02:11 . 2008-10-04 02:11 2,823,651 --a------ C:\WINDOWS\Reissdor.scr
2008-10-04 02:11 . 2008-10-04 02:09 2,547,320 --a------ C:\Programme\reissdorf_bildschirmschoner.zip
2008-10-04 02:11 . 2008-10-04 02:11 233,451 --a------ C:\WINDOWS\deinstallation Reissdor.exe
2008-09-30 23:23 . 2008-09-30 23:23 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-30 22:57 . 2008-09-30 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Nikola Stevens\Anwendungsdaten\CyberLink
2008-09-30 21:44 . 2008-09-30 21:44 1,600 -rahs---- C:\WINDOWS\system32\google.htm
2008-09-29 15:34 . 2008-09-29 15:34 <DIR> d-------- C:\Programme\Bonjour

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 19:35 2,080 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-13 19:35 1,100 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-01 11:01 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-01-10 13:10 121,851 ----a-w C:\Programme\AB_Spr_1.zip
2007-12-26 10:37 54,330,664 ----a-w C:\Programme\iTunesSetup.exe
2007-12-23 09:26 166,912 ----a-w C:\Programme\Setup Karten leser.exe
2007-11-27 16:10 210,416 ----a-w C:\Programme\zaSetup_de.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-07-28 102400]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-09-23 7286784]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352]
"ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"Wireless Console"="C:\Programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-08-13 180269]
"EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-13 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"nwiz"="nwiz.exe" [2005-09-23 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-05-31 22:46 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\System32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-07-05 57088]
R0 risdpntk;risdpntk;C:\WINDOWS\system32\DRIVERS\risdpntk.sys [2004-09-17 27264]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 SmartSurferManager;SmartSurfer Manager;C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe [2007-12-18 132560]
.
Inhalt des "geplante Tasks" Ordners

2008-10-13 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE []

2008-10-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 21:37:23
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\PROGRAMME\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\1XCONFIG.EXE
C:\PROGRAMME\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LIGHTSCRIBE\LSSRVC.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\OPROTSVC.EXE
C:\PROGRAMME\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\PROGRAMME\ASUS\NB PROBE\SPM\SPMGR.EXE
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 21:39:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-13 19:39:20
ComboFix5.txt 2008-10-13 19:32:02
ComboFix4.txt 2008-10-13 15:01:32
ComboFix3.txt 2008-10-13 15:26:40
ComboFix2.txt 2008-10-13 15:43:30

Vor Suchlauf: 19 Verzeichnis(se), 27.919.974.400 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 27,911,028,736 Bytes frei

191 --- E O F --- 2008-10-06 21:21:18



Ist es das wohl gewesen?? Ich hoffe sehr!!!

Ganz vielen Dank
Nik

#12 Log vom eeePC

der registry-Eintrag erstellt sich immer wieder neu ...an anderer Stelle
erstelle bitte eine neue cfscript.txt - dann wieder auf combofix ziehen...

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]

Log vom Laptop: - ist i.o.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 so ne sch....
also, hier der neue Log vom eeePc:


ComboFix 08-10-12.01 - Sasha Inglis 2008-10-14 14:46:16.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.704 [GMT 2:00]
Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\cfscript.txt
* Created a new restore point

[COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR]
.

((((((((((((((((((((((((( Files Created from 2008-09-14 to 2008-10-14 )))))))))))))))))))))))))))))))
.

2008-10-11 20:21 . 2008-10-11 20:21 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-10-11 19:50 . 2008-10-11 19:50 <DIR> d-------- C:\Programme\Xvid
2008-10-11 19:50 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-10-11 19:50 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-10-11 19:50 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI
2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew
2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome
2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv
2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer
2008-10-10 02:10 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-10 02:10 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Programme\iTunes
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\iPod
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour
2008-10-10 02:09 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime
2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software
2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera
2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer
2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb
2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData
2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc
2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros
2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys
2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf
2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat
2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp
2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp
2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp
2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp
2008-10-08 18:02 . 2008-10-08 18:02 <DIR> d-------- C:\Programme\CCleaner
2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 19:17 . 2008-10-14 14:48 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-09-21 19:55 . 2008-10-11 18:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-19 11:16 . 2008-09-19 11:16 1,600 -rahs---- C:\WINDOWS\system32\google.htm
2008-09-19 11:16 . 2008-09-19 11:16 416 -rahs---- C:\WINDOWS\system32\explorer.vbs
2008-09-15 11:23 . 2008-09-15 11:23 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage
2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8
2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat
2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype
2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM
2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-27 10:36 --------- d-----w C:\Programme\Avira
2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
.

((((((((((((((((((((((((((((( snapshot_2008-10-13_19.57.51.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-13 17:21:46 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-10-14 12:38:40 61,880 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-10-13 17:21:46 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-10-14 12:38:41 53,166 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-10-13 17:21:46 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-10-14 12:38:40 387,724 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-10-13 17:21:46 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-10-14 12:38:41 380,918 ----a-w C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk
backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720]
R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088]
R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs
.
Contents of the 'Scheduled Tasks' folder

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 14:49:24
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-10-14 14:50:59
ComboFix-quarantined-files.txt 2008-10-14 12:50:54
ComboFix2.txt 2008-10-13 17:58:40

Pre-Run: 452,042,752 Bytes frei
Post-Run: 441,049,088 Bytes frei

171 --- E O F --- 2008-10-13 17:18:54

#14 der gleiche Eintrag ist noch da - ich nehme an, du hast das script von Combofix nicht richtig erstellt....angewendet.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs

du kannst das rot gekennzeichnete auch direkt in der Registry löschen
Start - Ausführen - regedit
.

««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\explorer.vbs

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi Sabina,

folgendes sagt Virustotal über die Datei C:\WINDOWS\system... vom eeePC:

MD5: ead6e89dc62c6c320ae5915475a42cb2
First received: 2008.09.08 15:01:21 (CET)
Datum 2008.10.08 14:56:46 (CET) [>6D]
Ergebnisse 8/36
Permalink: analisis/536870ed09ae34fcfa149585952a5d2d

Hoffe, habe es jetzt richtig gemacht??