Programme starten nicht mehr ordentlich: Meldung:C:\WINDOWS\system32\rundll3

#46 ...ok, weiter gehts :-)

Hier das neue Log aus Combofix:

Zitat

ComboFix 08-06-09.3 - masterofdesaster 2008-06-09 23:13:53.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.642 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\fürsNB\Combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-09 bis 2008-06-09 ))))))))))))))))))))))))))))))
.

2008-06-04 13:24 . 2008-06-04 13:24 8,463 --a------ C:\WINDOWS\masterofdesaster8.xlb
2008-06-03 18:37 . 2008-06-03 18:37 <DIR> d-------- C:\WINDOWS\ERUNT
2008-06-03 17:28 . 2008-06-03 17:28 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 17:28 . 2008-06-03 17:28 <DIR> d-------- C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Malwarebytes
2008-06-03 17:28 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-03 17:28 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-03 16:32 . 2008-06-03 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-03 12:52 . 2008-06-03 17:28 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-03 12:52 . 2008-06-03 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-01 19:50 . 2002-08-29 06:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-05-31 20:05 . 2008-05-31 20:05 262,246 --a------ C:\DSC00532.JPG
2008-05-31 20:04 . 2008-05-31 20:05 240,895 --a------ C:\DSC00533.JPG
2008-05-31 20:03 . 2008-05-31 20:03 206,083 --a------ C:\DSC00534.JPG
2008-05-29 16:15 . 2008-05-29 16:15 <DIR> d-------- C:\Programme\QuickTime
2008-05-18 19:31 . 2008-05-18 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Supreme Auction
2008-05-18 19:30 . 2008-06-03 12:52 <DIR> d-------- C:\Programme\Supreme Auction
2008-05-12 22:36 . 2008-05-12 22:36 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 15:13 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-19 08:44 --------- d-----w C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\ntr
2008-03-19 16:26 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
.

Code

<pre>
----a-w           814,996 2007-07-18 16:51:36  C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\xxxxx\Schulung\e-Schulung\Referenzprojekt Definition Referenzprojekt .exe
</pre>

------- Sigcheck -------

2002-08-29 06:00 749568 5d258f6528f55bc742824c0dcf78a4a6 C:\WINDOWS\system32\wininet.dll
2002-08-29 06:00 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\VistaMizer\old\wininet.dll

2002-08-29 06:00 561152 0bd08c9f365f1d4686e696fb6ba6d130 C:\WINDOWS\system32\winlogon.exe
2002-08-29 06:00 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\VistaMizer\old\winlogon.exe

2003-04-24 11:15 1951616 9c47201be3e7840cdbc95eaa9470a452 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2003-04-24 11:15 2295296 08f4491f6130dc6fbb36bc48818e2d6a C:\WINDOWS\system32\ntkrnlpa.exe
2003-04-24 11:15 1951616 9c47201be3e7840cdbc95eaa9470a452 C:\WINDOWS\VistaMizer\old\ntkrnlpa.exe

2003-04-24 11:15 1927936 3b7aaa1852bc635b52788144ea797cbc C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2003-04-24 11:15 2271616 546e82f3dcaca413e0f77f385ea94e6d C:\WINDOWS\system32\ntoskrnl.exe
2003-04-24 11:15 1927936 3b7aaa1852bc635b52788144ea797cbc C:\WINDOWS\VistaMizer\old\ntoskrnl.exe

2003-05-29 12:48 1518080 04f014bf1bdf24cde5405a2f453fe27a C:\WINDOWS\explorer.exe
2002-08-29 06:00 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtUninstallKB820291$\explorer.exe
2003-05-29 12:48 999424 0589140c62d1a5d1adc13c79266122da C:\WINDOWS\Driver Cache\i386\explorer.exe
2003-05-29 12:48 999424 0589140c62d1a5d1adc13c79266122da C:\WINDOWS\VistaMizer\old\explorer.exe

2002-08-29 06:00 23040 c163e02b23ee810af4fe41678a304cd9 C:\WINDOWS\system32\ctfmon.exe
2002-08-29 06:00 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\VistaMizer\old\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3TRAY2"="S3Tray2.exe" [2002-07-15 14:45 69632 C:\WINDOWS\system32\S3Tray2.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-31 16:25 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-31 16:24 512000]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"BluetoothAuthenticationAgent"="irprops.cpl" [2002-11-22 15:46 108544 C:\WINDOWS\system32\irprops.cpl]
"QCWLICON"="C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2003-03-27 03:06 53248]
"TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2003-08-07 16:57 94208]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2003-08-08 16:39 897024]
"TP4EX"="tp4ex.exe" [2002-09-04 02:05 53248 C:\WINDOWS\system32\TP4EX.exe]
"NPDTray"="C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe" [2002-10-30 03:01 204800]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2002-11-01 03:00 204800]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-04-29 22:00 315392]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2002-11-08 04:50 106551]
"Client Access Service"="C:\Programme\IBM\Client Access\cwbsvstr.exe" [2002-08-06 06:20 20530]
"Client Access Help Update"="C:\Programme\IBM\Client Access\cwbinhlp.exe" [2002-08-06 06:20 24576]
"Client Access Check Version"="C:\Programme\IBM\Client Access\cwbckver.exe" [2002-08-06 06:20 45106]
"Client Access Express Welcome"="C:\Programme\IBM\Client Access\cwbwlwiz.exe" [2002-08-06 06:20 20480]
"OfficeScanNT Monitor"="C:\OfficeScan NT\pccntmon.exe" [2007-01-13 00:19 356429]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 146944]
"DrvIcon"="C:\Programme\VistaDriveIcon\DrvIcon.exe" [2007-07-04 21:59 45056]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Office2000\Office\OSA9.EXE [2000-01-21 17:15:54 65588]
Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [1997-09-04 01:00:00 111376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
ckpNotify.dll 2005-03-01 19:49 24672 C:\WINDOWS\system32\ckpNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^Glass2k.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\Glass2k.lnk
backup=C:\WINDOWS\pss\Glass2k.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^Thoosje Sidebar.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\Thoosje Sidebar.lnk
backup=C:\WINDOWS\pss\Thoosje Sidebar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^TrueTransparency.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\TrueTransparency.lnk
backup=C:\WINDOWS\pss\TrueTransparency.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^ViOrb.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\ViOrb.lnk
backup=C:\WINDOWS\pss\ViOrb.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^ViStart.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\ViStart.lnk
backup=C:\WINDOWS\pss\ViStart.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^VisualTaskTips.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\VisualTaskTips.lnk
backup=C:\WINDOWS\pss\VisualTaskTips.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^WinFlip.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\WinFlip.lnk
backup=C:\WINDOWS\pss\WinFlip.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agrsmmsg]
--a------ 2002-10-18 12:07 87751 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DTVRemote]
--a------ 2005-06-10 14:30 40960 C:\Programme\LifeView DTV\RemoteControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDFAssistent]
--a------ 2003-12-24 17:35 150528 C:\Programme\FreePDF\FreePDFA.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ibmmessages]
--a------ 2002-12-19 12:02 491520 C:\Programme\IBM\Messages By IBM\ibmmessages.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\quicktime task]
--a------ 2008-05-29 16:15 413696 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spooler subsystem app]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]
--a------ 2002-06-18 01:01 155648 c:\Programme\VERITAS Software\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tgcmd]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UC_SMB]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\System32\drivers\IBMBLDID.SYS [2003-03-27 03:06]
R1 TPPWR;TPPWR;C:\WINDOWS\System32\drivers\Tppwr.sys [2002-11-01 02:31]
R2 Scap;SecureClient Application Policy Module;C:\WINDOWS\System32\DRIVERS\Scap.sys [2005-03-01 19:49]
R2 setup_7.0.0.180_18.05.2008_22-36;setup_7.0.0.180_18.05.2008_22-36;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe" -r []
R2 VPN-1;VPN-1 Module;C:\WINDOWS\System32\drivers\vpn.sys [2005-03-01 19:49]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\System32\DRIVERS\fw.sys [2005-03-01 19:49]
R3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS [2004-03-24 04:12]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\System32\DRIVERS\RMSPPPOE.SYS [2002-10-03 01:09]
S2 LVEzLoader;LifeView EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);C:\WINDOWS\System32\Drivers\LVEzLD06.sys [2005-05-19 05:48]
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;C:\WINDOWS\System32\DRIVERS\fpcmbase.sys [2001-08-17 12:14]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2002-08-29 06:00]
S3 LifeView_USBDVBT;LVUSB Service;C:\WINDOWS\System32\Drivers\LVUSB_TX.sys [2005-06-16 06:08]
S3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys [2001-08-17 14:28]
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\System32\DRIVERS\OMVA.sys [2005-03-01 19:49]
S3 PCDRDRV;Pcdr Helper Driver;C:\PROGRA~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys []

.
Inhalt des "geplante Tasks" Ordners
"2007-09-12 09:42:23 C:\WINDOWS\Tasks\BMMTask.job"
- C:\PROGRA~1\ThinkPad\UTILIT~1\BMMTASK.EXE
"2006-02-05 18:16:47 C:\WINDOWS\Tasks\Spider.job"
- C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\Daten vom NB_old\Eigene Dateien\TMP\tmp\downloads\Spider\spider116\Spider.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 23:15:52
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-09 23:17:37
ComboFix-quarantined-files.txt 2008-06-09 21:17:04
ComboFix2.txt 2008-06-09 20:53:39

20 Verzeichnis(se), 25,969,938,432 Bytes frei
22 Verzeichnis(se), 25,956,077,568 Bytes frei

166

Sophos:

Zitat

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40
Removable: No
Notes: (no more detail available)

und der Scan mit Bitdefender:

Zitat

BitDefender Online Scanner


Scan report generated at: Tue, Jun 10, 2008 - 01:17:20


Scan path: C:\;D:\;E:\;


Statistics

Time 01:36:36
Files 564500
Folders 5790
Boot Sectors 2
Archives 12147
Packed Files 14845


Results
Identified Viruses 6
Infected Files 7
Suspect Files 0
Warnings 0
Disinfected 0
Deleted Files 7


Engines Info
Virus Definitions 1257131
Engine build AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins 16
Archive plugins 42
Unpack plugins 7
E-mail plugins 6
System plugins 5


Scan Settings

First Action Disinfect
Second Action Delete
Heuristics Yes
Enable Warnings Yes
Scanned Extensions *;
Exclude Extensions
Scan Emails Yes
Scan Archives Yes
Scan Packed Yes
Scan Files Yes
Scan Boot Yes




Scanned File
Status

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\found.exe.exe
Infected with: Trojan.Peed.PJ

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\found.exe.exe
Disinfection failed

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\found.exe.exe
Deleted

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\hrzxqg.exe
Infected with: Trojan.Dropper.Cutwail.R

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\hrzxqg.exe
Disinfection failed

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\hrzxqg.exe
Deleted

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\kkfa621.exe
Infected with: Trojan.Dropper.Cutwail.R

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\kkfa621.exe
Disinfection failed

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\kkfa621.exe
Deleted

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\ngmvdtwj.exe
Infected with: Trojan.Generic.280506

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\ngmvdtwj.exe
Deleted

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\PLSRemote.exe
Detected with: Application.Remoteadmin.AT

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\PLSRemote.exe
Disinfection failed

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\PLSRemote.exe
Deleted

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\sft.res
Infected with: Trojan.FakeAlert.RH

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\sft.res
Disinfection failed

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\sft.res
Deleted

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\terfobh.exe
Infected with: Trojan.Downloader.Agent.ZKL

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott\terfobh.exe
Deleted

Grüße

felk

#47 ««
das beste, du löschst den Ordnder völlig
C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\tmp\dwnlds\System32\schrott

««
scanne mit f-secure + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Hi,

den Ordner habe ich gelöscht. Das war quasi mein Quarantäne-Ordner.....

Hier das Log von f-secure: (hat doch noch etwas gefunden !?!?)

Zitat

Scanning Report
Tuesday, June 10, 2008 22:54:36 - 07:51:44
Computer name: TP-7376
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 2 malware found
Rootkit.Win32.Agent.ape (virus)
C:\WINDOWS\LASTGOOD\SYSTEM32\DRIVERS\BEEP.SYS (Submitted)
W32/Downloader (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\masterofdesaster.TP-7376\EIGENE DATEIEN\TMP\DWNLDS\WL\TOOLS\NG-WIN32\-NG\AIRODUMP-NG.EXE (Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 34382
System: 3730
Not scanned: 23
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 2
Submitted: 2
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\$NTUNINSTALLQ828026$\MSDXM.OCX
C:\WINDOWS\$NTUNINSTALLQ828026$\WMPCORE.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\DAO360.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSEXCL40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSJET40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSJETOLEDB40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSJTES40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSPBDE40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSREPL40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSTEXT40.DLL
C:\WINDOWS\$NTUNINSTALLKB829558$\MSXBDE40.DLL
C:\WINDOWS\$NTUNINSTALLKB828035$\MSGSVC.DLL
C:\WINDOWS\$NTUNINSTALLKB828035$\WKSSVC.DLL
C:\WINDOWS\$NTUNINSTALLKB826939$\SRRSTR.DLL
C:\WINDOWS\$NTUNINSTALLKB824141$\USER32.DLL
C:\WINDOWS\$NTUNINSTALLKB824141$\WIN32K.SYS

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-06-10
F-Secure AVP: 7.0.171, 2008-06-10
F-Secure Pegasus: 1.20.0, 2008-04-15
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

Grüße

feliks

#49 feliks

ich denke, wenn du noch mit anderen Onlinescannern arbeitest, wird noch mehr gefunden - das System war über beide Ohren kompromitiert + verseucht

««
sophos-anti-rootkit - scanne
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

««
sdfix
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

--------

und wenn du mal Zeit und Musse hast, sichere deine Daten und formatiere, denn trotz Reinigung ist dein System nicht mehr sicher... siehe Rootkit: Hnt63.sys

das zum Beispiel bekomme ich ohne die renv.exe nicht gelöst... die Datei ist verseucht und vom Virus ersetzt.... (sieht man an der Leerstelle)
am besten löschen !

Zitat

<pre>
----a-w 814,996 2007-07-18 16:51:36 C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\xxxxx\Schulung\e-Schulung\Referenzprojekt Definition Referenzprojekt .exe
</pre>

__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hallo,
auch ich habe leider ein Problem, welches hier perfekt hineinpasst:
nach dem Hochfahren des Rechners kommt erst die Fehlermeldung "rundll32.exe not running", Programme lassen sich dann nicht mehr starten. Nach dem Doppelklick öffnet sich immer das Fenster "öfnnen mit" aber selbst dann starten manche Programme nicht.
Kann mir bitte jemand behilflich sein? Hijack This hat meinen Rechner schon gescannt.
Vielen Dank
Willi

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:20, on 06.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchast.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AIM6\aim6.exe
C:\Programme\AIM6\aolsoftware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tapi.nfo beforeglav
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 85.214.143.164 status.wow-europe.com
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: ICQSys (IE PlugIn) - {F54AF7DE-6038-4026-8433-CC30E3F17212} - C:\WINDOWS\system32\dddesot.dll (file missing)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia\Common\e03500ea1.dll""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v3 Setup-Assistent.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - D:\monki.dll (file missing)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AntipyPro_12 (AntipPro2009_12) - Unknown owner - C:\WINDOWS\svchast.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6143 bytes

#51 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\svchast.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Arbeite nun folgendes ab und poste die Logs:
http://board.protecus.de/t23187.htm

Gruss Swiss

#52 Hallo Swiss,
Anti-Malware hat es gerichtet, das Problem ist gelöst und der Rechner arbeitet wieder einwandfrei. Vielen Dank und viele Grüße aus dem sonnigen Baesweiler!
Willi

#53 Aber denke daran, dass auch Malwarebytes nicht ein Allerweltsprogramm ist. Poste denoch die restlichen Logs auch das von Malwarebytes.

Gruss Swiss

#54 also hy habe jetzt mal interessiert diesen beitrag gelesen es handelt sich bei mir um das selbe problem nur dazu wenn ich den arbeitsplatz öfnen die meldung erscheind C:\windows\explorer.exe anwendung nicht gefunden!!
ich hab jetzt zwar n paar wege gefunden alles zu nutzen was ich will aber das problem stört mich habe jetzt mal dieses hijack auch laufen lassen und sehe nicht ganz durch!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:47, on 14.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\imapi.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD224AB-0AD2-4170-9405-4D2EAA14127E}: NameServer = 194.48.139.254 194.48.124.202
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 2620 bytes


i schätz das es an der zeile liegt !!

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)


ich weiß halt nicht ob und wie ich das jetz in gang bekomme!!
hilfe wär super nett und i wär dankbar für jeden tipp!!!

mfg saap

#55 (schluck) also so wie es ausschaut muss ich hier um das allein zu kappieren 2 tag und 2 nächte vollgepumpt mit muntermachern wie kaffee,redbull und co. usw! pauken n bissal seh ich durch doch dann kommt n text der haut wieder alles übereinander und aus ist!!!xD also riesen respeckt vor euch die hier fleisig lösungen reinschreiben!!!

#56 Leider scheint Dein HJT-Log nicht komplett zu sein (da das schon öfter mal vorkam, schätze ich, dass entweder eine Malware HJT irgendwo blockiert oder das HJT ein paar Bugs hat).

Führe Schritt 3 durch (siehe http://board.protecus.de/t23188.htm) und anschließend einen Scan mit ComboFix.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#57 oder er hatt es einfach nicht komplett kopiert, wovon ich ausgehe, unten fehlt ein stück.

#58 ihr seitz echt spitze ein anderes forum das sich netzwelt nennt meint ich hab keine ander cahnc als alles neu zu booten!! ich geb euch noch denn einen log und lasse noch combofix laufen!!! aber einen riesigen dankan euch es läuft wieder!!!! dumen hoch

#59 ok, je nach dem wie die logs aussehen, werden weitere Schritte nötig sein.

#60 Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2629
Windows 5.1.2600 Service Pack 3

15.08.2009 13:50:08
mbam-log-2009-08-15 (13-50-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 93646
Laufzeit: 13 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Schedule\ImagePath (Hijack.Service) -> Bad: (C:\WINDOWS\system32\drivers\spools.exe) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\mythos\Desktop\EXPLORER.EXE (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.













ComboFix 09-08-10.06 - mythos 15.08.2009 14:25.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.625 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\mythos\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\14c678.msi
c:\windows\Installer\14c681.msi


.
((((((((((((((((((((((( Dateien erstellt von 2009-07-15 bis 2009-08-15 ))))))))))))))))))))))))))))))
.

2009-08-15 12:03 . 2009-08-15 12:04 -------- d-----w- c:\windows\LastGood
2009-08-15 11:07 . 2009-08-15 11:07 -------- d-----w- c:\dokume~1\mythos\ANWEND~1\Malwarebytes
2009-08-15 11:07 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-15 11:07 . 2009-08-15 11:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-15 11:07 . 2009-08-15 11:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-15 11:07 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-14 17:28 . 2009-08-14 17:28 -------- d-----w- c:\dokumente und einstellungen\mythos\chris
2009-08-14 13:58 . 2009-08-14 14:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-14 13:58 . 2009-08-14 13:58 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-14 13:57 . 2009-08-14 13:58 -------- d-----w- C:\Neuer Ordner
2009-08-14 13:20 . 2009-08-14 13:20 -------- d-----w- c:\programme\Trend Micro
2009-08-13 16:50 . 2009-08-13 17:03 -------- d-----w- c:\windows\system32\drivers\rundll32
2009-08-13 16:48 . 2009-08-13 16:48 -------- d-----w- c:\windows\EXPLORER
2009-08-13 12:57 . 2009-08-13 12:57 -------- d-----w- c:\dokumente und einstellungen\chris
2009-08-13 12:21 . 2008-04-14 12:00 2560 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\USMT\iconlib.dll
2009-08-08 00:17 . 2008-11-20 22:56 1700352 ----a-r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OfficeGuardian\gdiplus.dll
2009-08-06 23:03 . 2008-04-14 12:00 19968 ----a-w- c:\windows\system32\lprmon.dll
2009-08-06 23:03 . 2008-04-14 12:00 19968 ----a-w- c:\windows\system32\dllcache\lprmon.dll
2009-08-06 23:02 . 2008-04-14 12:00 23040 ----a-w- c:\windows\system32\lpdsvc.dll
2009-08-06 23:02 . 2008-04-14 12:00 23040 ----a-w- c:\windows\system32\dllcache\lpdsvc.dll
2009-08-02 19:29 . 2009-02-06 16:08 55152 ----a-w- c:\windows\system32\drivers\fssfltr_tdi.sys
2009-07-31 18:03 . 2009-07-31 18:03 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-07-31 17:50 . 2009-07-31 17:50 -------- d-sh--w- c:\dokumente und einstellungen\mythos\IECompatCache
2009-07-31 17:49 . 2009-07-31 17:49 -------- d-sh--w- c:\dokumente und einstellungen\mythos\PrivacIE
2009-07-31 17:48 . 2009-07-31 17:48 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-07-31 17:42 . 2009-07-31 17:42 -------- d-sh--w- c:\dokumente und einstellungen\mythos\IETldCache
2009-07-31 16:14 . 2009-07-31 16:15 -------- d-----w- c:\windows\ie8updates
2009-07-31 15:58 . 2009-07-31 16:10 -------- dc-h--w- c:\windows\ie8
2009-07-31 15:56 . 2009-07-31 15:56 -------- d-----w- c:\programme\Microsoft Silverlight
2009-07-31 15:11 . 2009-07-31 16:18 -------- d--h--w- c:\windows\msdownld.tmp
2009-07-31 15:02 . 2009-07-03 16:55 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-31 15:02 . 2009-07-03 16:55 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-07-31 15:01 . 2009-07-01 07:08 101376 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-07-24 10:58 . 2009-07-24 10:58 59496 ----a-w- c:\windows\system32\zlib.dll
2009-07-24 10:58 . 2009-07-24 10:58 37992 ----a-w- c:\windows\system32\gzip.dll
2009-07-24 10:55 . 2009-07-24 10:55 255632 ----a-w- c:\windows\system32\aloaha_pkcs11.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-15 12:13 . 2009-05-15 16:12 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-15 11:52 . 2009-01-16 15:48 12 ----a-w- c:\windows\bthservsdp.dat
2009-08-14 13:08 . 2008-09-24 01:53 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
2009-08-13 12:57 . 2009-01-16 20:59 -------- d-----w- c:\dokume~1\mythos\ANWEND~1\uTorrent
2009-08-11 21:53 . 2008-09-24 01:56 33792 ----a-w- c:\windows\system32\rundll32.exe
2009-08-10 19:21 . 2008-09-24 01:56 73520 ----a-w- c:\windows\system32\perfc007.dat
2009-08-10 19:21 . 2008-09-24 01:56 374318 ----a-w- c:\windows\system32\perfh007.dat
2009-08-08 00:21 . 2009-08-08 00:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OfficeGuardian
2009-08-02 19:30 . 2009-01-16 15:08 30928 ----a-w- c:\dokumente und einstellungen\mythos\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-02 19:29 . 2008-07-13 13:05 -------- d-----w- c:\programme\Windows Live
2009-07-30 15:27 . 2009-05-10 10:30 -------- d-----w- c:\dokume~1\mythos\ANWEND~1\dvdcss
2009-07-03 16:55 . 2008-09-24 01:56 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-17 20:01 . 2008-09-24 01:53 -------- d---a-w- c:\programme\Windows Desktop Search
2009-05-24 22:24 . 2008-09-24 01:56 350208 ----a-w- c:\windows\system32\mssph.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\VDOWNLOADER\\VDownloader.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=

R0 phmcd;phmcd;c:\windows\system32\drivers\phmcd.sys [08.04.2008 20:41 44696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.05.2009 18:12 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [02.08.2009 21:29 55152]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [24.09.2008 03:57 153600]
S3 fsssvc;Windows Live Family Safety;c:\programme\Windows Live\Family Safety\fsssvc.exe [06.02.2009 18:08 533360]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [12.05.2009 20:51 467456]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [12.05.2009 20:51 15488]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{C3CD744D-2FAE-4640-8297-16B5DA423104} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - c:\programme\Ask.com\GenericAskToolbar.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-15 14:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2009-08-15 14:36
ComboFix-quarantined-files.txt 2009-08-15 12:36

Vor Suchlauf: 13 Verzeichnis(se), 35.001.331.712 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 35.506.008.064 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

131 --- E O F --- 2009-06-17 20:02