mein rechner lahmt nach antivier-fund

#1 hallo

hoffe ich bin hier richtig.

ich hab da ein problem. undzwar ist mein pc die letzten tage ziemlich langsam geworden. dazu hat mein antivier noch ein paar verdächtige datein gelöscht. namen sind mir leider entfallen. aber es passt halt alles gut zusammen, als hätte ich mir etwas eingefangen.

nun hab ich vorhin nen beitrag hier gelsen, wo jemand mit hijack oder ähnlich irgendwas gepostet hat. so eine art protokoll. und zack kamen antworten, die wohl auch geholfen haben. deswegen wollte ich hier auch mal eben was posten, in der hoffnung, das sich das mal jemand ansieht und evtl. was verdächtiges sieht.

so hier mal des geschreibsel... hoffe ihr könnt mir helfen.

danke und lg sascha

Logfile of HijackThis v1.99.1
Scan saved at 01:14:12, on 02.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MioNet\MioNetManager.exe
C:\Programme\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Security Task Manager\taskman.exe
G:\Saschas BACKUP!!!\Sascha\Eigene Dateien\Antivir\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - G:\Games\Poker\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - G:\Games\Poker\PartyPokerNet\RunPF.exe
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Programme\MioNet\MioNetManager.exe
O23 - Service: Dawn of Magic Drivers Auto Removal (pr2ahqjb) (pr2ahqjb) - Koch Media - C:\WINDOWS\system32\pr2ahqjb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 Hallo,

bitte den Rest abarbeiten, vorsichtshalber noch mal Hijackthis,
benenne die Exe aber vorher um auf z.B. TestHi.exe...

Zitat

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Was bereits jetzt auffällt ist:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab


virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\wdfmgr.exe

(Bitte Online prüfen lassen (kann Mediaplayer 10 oder der Tojaner W32/Agobot-TB sein))
Chris

#3 Halli hallo.

Nutzt du MioNet? Ich denke nicht und dann ist dein logFile ziemlich eindeutig:
Backdoor.Win32.Agobot.abd womit du den Jackpot gewonnen hast.

Zitat

Ermöglicht Dritten den Zugriff auf den Computer

Eine Bereinigung ist bei Backdoorbefall sehr riskant und deine Privatsphäre hinterher ungenügend geschützt. Daher rate ich dir dringend dein System neuaufzusetzten!

lieben Gruß

Undoreal
__________
.
Gruß: Undoreal =>Bestes Anti-Viren Prog||Dateien suchen+finden||

#4 erstmal großes danke für euer bemühen!!! :-)


@ undoreal

also mionet. ist irgendein tool von meiner webcam. aber brauchen tue ich es glaube dennoch net.

@ chris


- wie prüfe ich die .wdfmgr denn online? einfach googeln oder meinste etwas spezielles?

- Was bereits jetzt auffällt ist:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab


was genau lad ich mir damit runter wenn ich auf den link klicke?

#5 Hallo,

Onlineüberprüfung:
Folge dem Link von virustotal:
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
C:\WINDOWS\system32\wdfmgr.exe

Der Name (O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} ) lässt Smilies vermuten, ob dem so ist, keine Ahnung...
Würde das Ding fixen...

Gruß,
Chris

#6 VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: QUEUEDYour file "wdfmgr.exe" is queued in position: 42. Estimated start time is between 8 and 11 minutes.

Antivirus Version Update Result


Aditional Information

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com


so?


das mit den smilies könnte sein. da ich den msn-massanger benutze. der ist voll mit smilies.

#7 Hi,

die Ergebnisse des Scanns fehlen, Deine Datei wurde an 42.-Stelle eingereiht und wäre (oder ist) ind 8 bis 11 Minuten dran, dann laufen die Virenscanner drüber und geben Ihre Ergebnisse bekannt, bitte noch mal machen und Ergebnisse der Scanns posten...

Chris

#8 ach jetzt hab ich des verstanden... sorry. scann läuft und ich poste gleich, wenn er fertig ist.


VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: FINISHEDComplete scanning result of "wdfmgr.exe", received in VirusTotal at 05.03.2007, 10:57:11 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.3.2 05.03.2007 no virus found
AntiVir 7.4.0.15 05.03.2007 no virus found
Authentium 4.93.8 05.02.2007 no virus found
Avast 4.7.997.0 05.03.2007 no virus found
AVG 7.5.0.467 05.02.2007 no virus found
BitDefender 7.2 05.03.2007 no virus found
CAT-QuickHeal 9.00 04.30.2007 no virus found
ClamAV devel-20070416 05.03.2007 no virus found
DrWeb 4.33 05.03.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3612 05.03.2007 no virus found
Ewido 4.0 05.03.2007 no virus found
FileAdvisor 1 05.03.2007 No threat detected
Fortinet 2.85.0.0 05.03.2007 no virus found
F-Prot 4.3.2.48 05.02.2007 no virus found
F-Secure 6.70.13030.0 05.03.2007 no virus found
Ikarus T3.1.1.7 05.03.2007 no virus found
Kaspersky 4.0.2.24 05.03.2007 no virus found
McAfee 5022 05.02.2007 no virus found
Microsoft 1.2503 05.03.2007 no virus found
NOD32v2 2235 05.02.2007 no virus found
Norman 5.80.02 05.02.2007 no virus found
Panda 9.0.0.4 05.02.2007 no virus found
Prevx1 V2 05.03.2007 no virus found
Sophos 4.17.0 05.03.2007 no virus found
Sunbelt 2.2.907.0 05.03.2007 no virus found
Symantec 10 05.03.2007 no virus found
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.03.2007 no virus found
VirusBuster 4.3.7:9 05.02.2007 no virus found
Webwasher-Gateway 6.0.1 05.03.2007 no virus found


Aditional Information
File size: 38912 bytes
MD5: ab0a7ca90d9e3d6a193905dc1715ded0
SHA1: 681ba7f162bf3799a49996529b587c9fa4b34247
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=ab0a7ca90d9e3d6a193905dc1715ded0

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com

#9 Hi,

also das war es nicht, bitte poste noch die ausstehenden Logs:

Zitat

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles (hbe wir bereits)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

#10 entschuldige bitte das ich so unwissend bin, aber was "die ausstehenden logs" ???

bzw. wie?

#11 http://board.protecus.de/t23187.htm
__________
MfG Argus

#12 "SASH" - 07-05-03 22:49:48 Service Pack 2
ComboFix 07-04-25.4V - Running from: "G:\Saschas BACKUP!!!\Sascha\Eigene Dateien\Antivir\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-03 to 2007-05-03 ))))))))))))))))))))))))))))))))))


2007-05-03 22:42 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-05-03 22:19 466 --a------ C:\CFCleanUp.bat
2007-05-02 00:49 <DIR> d-------- C:\Programme\Security Task Manager
2007-05-02 00:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-04-28 15:09 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-28 15:09 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-27 23:33 <DIR> d-------- C:\Programme\Lavasoft
2007-04-27 22:38 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-04-27 22:38 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-04-27 22:38 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-04-27 22:38 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-04-27 22:38 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-04-27 22:38 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-04-27 21:04 17,408 --a------ C:\WINDOWS\system32\sxkekaaa.exe
2007-04-17 21:52 <DIR> d--h----- C:\WINDOWS\PIF
2007-04-14 17:52 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-03 22:57 -------- d-------- C:\Programme\pestpatrol
2007-05-01 23:43 -------- d-------- C:\Programme\emule.de
2007-05-01 02:00 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-04-27 23:14 108144 --a------ C:\WINDOWS\system32\cmdlineext.dll
2007-04-03 20:52 -------- d-------- C:\Programme\mionet
2007-04-03 15:32 -------- d-------- C:\Programme\macrogaming
2007-04-03 15:26 -------- d-------- C:\Programme\yahoo!
2007-04-03 15:22 -------- d--h----- C:\Programme\installshield installation information
2007-04-03 15:22 -------- d-------- C:\Programme\google
2007-03-29 13:25 64896 --a------ C:\WINDOWS\system32\drivers\pe3ahqjb.sys
2007-03-29 13:25 52616 --a------ C:\WINDOWS\system32\drivers\ps6ahqjb.sys
2007-03-29 13:25 407168 --a------ C:\WINDOWS\system32\pr2ahqjb.exe
2007-03-26 19:16 -------- d-------- C:\Programme\hlsw
2007-03-25 20:03 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 20:03 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-18 20:58 -------- d-------- C:\Programme\speedfan
2007-03-09 00:02 54936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-03-07 20:53 81034 --a------ C:\WINDOWS\uninstall jade empire.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} C:\Programme\BitComet\tools\BitCometBHO.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} c:\programme\google\googletoolbar4.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Logitech Utility"="Logi_MwX.Exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"ZoneAlarm Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"PPMemCheck"="C:\\Programme\\PestPatrol\\PPMemCheck.exe"
"CookiePatrol"="C:\\Programme\\PestPatrol\\CookiePatrol.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
"SweetIM"="C:\\Programme\\Macrogaming\\SweetIM\\SweetIM.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="G:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53d318cf-c515-11d9-b116-806d6172696f}]
Shell\AutoRun\command E:\AUTOSTARTER.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53d318d0-c515-11d9-b116-806d6172696f}]
Shell\AutoRun\command F:\setup.exe
Shell\directx\command F:\DirectX\dxsetup.exe
Shell\setup\command F:\setup.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e1bda17e-91cc-11db-9f0d-000ea6c11782}]
Shell\AutoRun\command D:\detector.exe

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-03 23:18:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-05-03 23:18:59
C:\ComboFix-quarantined-files.txt ... 07-05-03 23:18
C:\ComboFix2.txt ... 07-05-03 22:42

#13 Hallo,

anhand der LOGs erkennen ich nur einige mir unbekannt Files, die daher noch einmal über virustotal scannen lassen:

virustotal:

Zitat

C:\WINDOWS\system32\sxkekaaa.exe
C:\WINDOWS\system32\drivers\pe3ahqjb.sys
C:\WINDOWS\system32\drivers\ps6ahqjb.sys
C:\WINDOWS\system32\pr2ahqjb.exe
E:\AUTOSTARTER.EXE

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu
prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen


Hijackthis, fixen (abgesicherter Modus, F8 beim Booten):
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Da noch nichts Bekanntes gefunden wurde (und auch die LOGs bisher unverdächtig sind), Antivir schärfer einstellen und scannen:

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

Weiteren Scanner nutzen:
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

Poste beide Logs, falls dann immer noch nichts gefunden wurde kommt
nur noch ein Rootkit in Frage (oder ein Defekt am Rechner bzw. der Virus/Trojaner hat irgendwelche Veränderungen an Windows vorgenommen -> Windowsreperaturinstallation durchführen......)

Chris

#14 nu hab ich was gefunden ;-(

VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: FINISHEDComplete scanning result of "sxkekaaa.exe", received in VirusTotal at 05.04.2007, 14:48:26 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.04.2007 HEUR/Crypted
Authentium 4.93.8 05.03.2007 no virus found
Avast 4.7.997.0 05.04.2007 no virus found
AVG 7.5.0.467 05.03.2007 no virus found
BitDefender 7.2 05.04.2007 no virus found
CAT-QuickHeal 9.00 05.03.2007 no virus found
ClamAV devel-20070416 05.04.2007 no virus found
DrWeb 4.33 05.04.2007 BackDoor.IRC.Sdbot.1348
eSafe 7.0.15.0 05.03.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3614 05.04.2007 no virus found
Ewido 4.0 05.04.2007 Backdoor.Sdbot
FileAdvisor 1 05.04.2007 no virus found
Fortinet 2.85.0.0 05.04.2007 suspicious
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.04.2007 no virus found
Ikarus T3.1.1.7 05.04.2007 no virus found
Kaspersky 4.0.2.24 05.04.2007 no virus found
McAfee 5023 05.03.2007 no virus found
Microsoft 1.2503 05.03.2007 no virus found
NOD32v2 2238 05.03.2007 no virus found
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.04.2007 no virus found
Prevx1 V2 05.04.2007 no virus found
Sophos 4.17.0 05.04.2007 no virus found
Sunbelt 2.2.907.0 05.03.2007 no virus found
Symantec 10 05.04.2007 no virus found
TheHacker 6.1.6.104 04.15.2007 no virus found
VBA32 3.11.4 05.03.2007 no virus found
VirusBuster 4.3.7:9 05.03.2007 no virus found
Webwasher-Gateway 6.0.1 05.04.2007 Heuristic.Crypted


Aditional Information
File size: 17408 bytes
MD5: f0eac741bc1537c3d40fb80068dc6894
SHA1: 52e22cca41110320eb4d545916026942ea542890
packers: UPX
packers: UPX, BINARYRES, UPX
packers: UPX

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com

#15 Hi,

mach das noch mit den anderen Files.
Sobald ein Scanner was findet packst Du bitte die Files in ein Passwort-geschützes Archive (IZARC, Zip etc.), Passwort bitte im mail vermerken und das Ganze an virus@protecus.de.

Bis Feedback da ist, kannst Du versuchen die erkannten Dateien im abgesicherten Modus umzubennen, z.B. auf sxkekaaa.exe_vir.


Danke

Chris