Drive-Cleaner-Problem

#1 Hallo liebe Computerexperten,

auch ich bin ein Opfer des "Drive Cleaners. Die Beiträge, die ich dazu gelesen habe, zeigen mir, dass es wohl nicht ganz so einfach ist, diesem Popup-Fenster zu entkommen. Den meisten Inhalt der Beiträge habe ich als normaler Computernutzer nicht so ganz verstanden, aber die Anleitung von Sabina hat mir schon mal geholfen. Den CleanUp habe ich anweisungsgemäß ausgeführt, die Combofix-Textdateien füge ich (hoffentlich richtig) unten ein.
In der Hoffnung auf schnelle Antwort, wie ich jetzt weiter verfahren muss, bedanke ich mich schon mal bei allen, die sich mit solchen Problemen auskennen - Hut ab!


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dhcdll.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\tmp5.tmp.dll
C:\WINDOWS\system32\tmpA.tmp.dll
C:\install.log
C:\WINDOWS\system32\lsasss.exe


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-17 ))))))))))))))))))))))))))))))))))


2007-05-17 12:25 106,638 --a------ C:\WINDOWS\ljghij.dll
2007-05-15 18:39 106,768 --a------ C:\WINDOWS\nnmjhg.dll
2007-05-12 10:37 <DIR> d-------- C:\tinos
2007-05-07 18:03 8,704 --a------ C:\WINDOWS\bmfcr43.dll
2007-05-07 18:03 7,168 --a------ C:\WINDOWS\kbdcan32.exe
2007-05-07 18:03 51,200 --a------ C:\WINDOWS\runtfs32.exe
2007-05-07 18:03 27,136 --a------ C:\WINDOWS\ntmaspi32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-04 14:21:50 111,552 ----a-w C:\WINDOWS\desctemp.dat
2007-03-30 17:43:18 -------- d-----w C:\Programme\Steam
2007-03-19 14:30:50 -------- d-----w C:\Programme\Koch
2007-03-16 17:26:14 20 ----a-w C:\WINDOWS\usage.dat
2007-03-08 13:10:22 0 ----a-w C:\svcipa.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{BDF3E430-B101-42AD-A544-FADC6B084872}=C:\Programme\Norton AntiVirus\NavShExt.dll [2003-08-23 02:49]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-23 12:24]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-04-23 12:24]
"SoundMan"="SOUNDMAN.EXE" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-29 19:40]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-03-29 19:40]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-03-29 19:40]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-03-29 19:40]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-03-29 19:40]
"SetDefPrt"="C:\Programme\Brother\Brmfl04a\BrStDvPt.exe" [2007-03-29 19:40]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2007-03-29 19:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2007-03-29 19:40]
"Arcor Online"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2007-03-29 19:40]
"Steam"="c:\programme\steam\steam.exe" [2007-03-30 19:45]
"Microsoft Webcam Enhance V2.1"="C:\WINDOWS\runtfs32.exe" [2007-05-07 18:03]
"Arcor Online"="" []


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HTTPFilter HTTPFilter
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
DcomLaunch DcomLaunch TermService
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-17 12:39:52
Windows 5.1.2600 Service Pack 2 FAT

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-17 12:40:37 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-17 12:40


--- E O F ---

#2 du hast auch den vundo.
geh zu www.atribune.org und lad dir dort den vundofix runter. lass ihn nach dieser anleitung laufen:
http://forum.hijackthis.de/showthread.php?t=18415
lass ihn so oft laufen, bis nichts mehr gefunden wird.
lad dir hijackthis von www.hijackthis.de runter,
bitte instaliere hijackthis in einen eigenen ordner: z.B.:
c:\programme\hijackthis benenne die hijackthis.exe in hjt.exe um, öfffne diese, klicke scan and safe log, poste auch dieses.
lad dir die filelist.zip runter, entpacke sie auf deinem desktop und öffne die filelist.bat. nun wird sich ein editorfenster öffnen. poste von jedem verzeichniss die jeweils letzten 2 monate.
http://members.linzag.net/680262/filelist.zip
bitte lass all diese rootkitscanner laufen, da vundo auch mit rootkits einhergehen kann! du musst dafür unbedingt die internetverbindung trennen, kabel raus-wlan aus und alle programme (auch antivirenprogramme) beenden. poste alle logs!
http://www.hijackthis-forum.de/showthread.php?t=20219
auch das combofixlog nochmal posten.

#3 Nutze bitte zusaetzlich vundofix: http://virus-protect.org/artikel/tools/vundofixx.html


und schicke folgendes an unten angegebene Adresse:
C:\WINDOWS\bmfcr43.dll
C:\WINDOWS\kbdcan32.exe
C:\WINDOWS\runtfs32.exe
C:\WINDOWS\ntmaspi32.dll
C:\svcipa.exe

Danach bitte auch ein Hijackthis log posten
__________
MfG Ralf
SEO-Spam Hunter

#4 Habe den Vundofix ausgeführt, es wurden keine infizierten Dateien gefunden.


VundoFix V6.3.23

Checking Java version...

Sun Java not detected
Scan started at 13:12:56 17.05.2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

*************************************

Hijackthis habe ich ebenfalls ausgeführt, die Liste sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 13:23:52, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Brother\Brmfcmon\brmfcwnd.exe
C:\Programme\hijackthis_199\hjt.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Webcam Enhance V2.1] C:\WINDOWS\runtfs32.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Corel\Suite8\Programs\DAD8.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O17 - HKLM\System\CCS\Services\Tcpip\..\{D55F4907-84E7-4B0E-B37A-80E95BA9AD01}: NameServer = 195.50.140.252 195.50.140.114
O20 - AppInit_DLLs:
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

********************************

Hier sind die Ergebnisse der filelist:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

17.05.2007 13:29 43 filelist.txt
17.05.2007 13:17 211 VundoFix.txt
17.05.2007 12:40 1.007 ComboFix-quarantined-files.txt
17.05.2007 12:40 4.988 ComboFix.txt
17.05.2007 12:39 536.399.872 hiberfil.sys
17.05.2007 12:39 804.495.360 pagefile.sys
08.03.2007 15:10 0 svcipa.exe


----- Windows --------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

17.05.2007 12:40 8.704 bmfcr43.dll
17.05.2007 12:40 1.566.866 WindowsUpdate.log
17.05.2007 12:40 27.136 ntmaspi32.dll
17.05.2007 12:39 159 wiadebug.log
17.05.2007 12:39 0 0.log
17.05.2007 12:39 2.048 bootstat.dat
17.05.2007 12:38 861.331 jihgjl.ini
17.05.2007 12:25 106.638 ljghij.dll
17.05.2007 12:03 862.755 tsrtwa.ini
17.05.2007 12:02 32.626 SchedLgU.Txt
17.05.2007 12:02 50 wiaservc.log
17.05.2007 11:44 17 obclient.ini
16.05.2007 18:25 139.521 wmsetup.log
15.05.2007 19:47 865.277 ghjmnn.ini
15.05.2007 19:45 5.396 ModemLog_Bluetooth DUN Modem.txt
15.05.2007 19:45 5.390 ModemLog_Bluetooth Fax Modem.txt
15.05.2007 19:45 3.842 ModemLog_Agere Systems PCI Soft Modem.txt
15.05.2007 18:39 106.768 nnmjhg.dll
12.05.2007 10:31 232.259 setupact.log
08.05.2007 18:26 4.552 ModemLog_Bluetooth LAP Modem #2.txt
07.05.2007 18:03 51.200 runtfs32.exe
07.05.2007 18:03 7.168 kbdcan32.exe
04.05.2007 16:21 111.552 desctemp.dat
03.05.2007 15:59 0 Jcmkr32.INI
02.05.2007 19:52 3.428 PI2000.ini
29.04.2007 14:25 30 CDMKR32.INI
21.04.2007 03:52 86.528 catchme.exe
12.04.2007 16:15 757.882 setupapi.log
25.03.2007 18:18 1.863 disney.ini
25.03.2007 18:14 1.393 disney.old
16.03.2007 19:26 20 usage.dat
21.02.2007 15:10 27.584 ntdtcsetup.log
21.02.2007 15:10 49.242 tsoc.log
21.02.2007 15:10 48.382 comsetup.log
21.02.2007 15:10 1.374 imsins.log
21.02.2007 15:10 6.357 ocmsn.log
21.02.2007 15:10 18.226 iis6.log
21.02.2007 15:10 3.667 KB884020.log
21.02.2007 15:10 113.741 FaxSetup.log
21.02.2007 15:10 61.341 ocgen.log
21.02.2007 15:10 5.815 msgsocm.log
21.02.2007 15:03 1.203 KB928090-IE7.log
21.02.2007 14:56 460 wmsetup10.log
11.02.2007 16:39 403 tm.ini


----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

13.05.2007 14:10 1.158 wpa.dbl
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 10:50 184.224 FNTCACHE.DAT

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Prefetch

17.05.2007 13:29 11.200 FIND.EXE-0EC32F1E.pf
17.05.2007 13:29 20.904 CMD.EXE-087B4001.pf
17.05.2007 13:29 17.846 EXPLORER.EXE-082F38A9.pf
17.05.2007 13:24 13.068 NOTEPAD.EXE-336351A9.pf
17.05.2007 13:23 12.910 HJT.EXE.EXE-28D52A2C.pf
17.05.2007 13:21 13.412 HIJACKTHIS.EXE-0FDFF49A.pf
17.05.2007 13:12 14.330 VUNDOFIX.EXE-138EC639.pf
17.05.2007 13:08 13.756 BRMFCWND.EXE-369A8D07.pf
17.05.2007 13:00 11.918 RUNDLL32.EXE-268BFF96.pf
17.05.2007 12:44 63.468 WPWIN8.EXE-293D1B5B.pf
17.05.2007 12:44 7.498 BRMFCMON.EXE-2D9F7716.pf
17.05.2007 12:42 122.596 IEXPLORE.EXE-2CA9778D.pf
17.05.2007 12:42 58.886 AOBUTLER.EXE-22D1F9ED.pf
17.05.2007 12:42 17.142 ARCOR.EXE-1E95EA5D.pf
17.05.2007 12:41 20.950 WUAUCLT.EXE-399A8E72.pf
17.05.2007 12:41 18.658 IMAPI.EXE-0BF740A4.pf
17.05.2007 12:40 6.592 RUNTFS32.EXE-0969A75D.pf
17.05.2007 12:40 2.858 VFIND.CFEXE-2033727F.pf
17.05.2007 12:40 10.820 SORT.EXE-194AE83C.pf
17.05.2007 12:40 733.854 NTOSBOOT-B00DFAAD.pf
17.05.2007 12:40 10.892 FINDSTR.EXE-0CA6274B.pf
17.05.2007 12:39 7.232 SWSC.CFEXE-3B4FE4FE.pf
17.05.2007 12:39 10.620 REGT.CFEXE-15DB5DAE.pf
17.05.2007 12:39 13.154 AT.EXE-2770DD18.pf
17.05.2007 12:39 3.896 HANDLE.CFEXE-13427ED2.pf
17.05.2007 12:38 9.356 NTP.EXE-2B3FE2C5.pf
17.05.2007 12:38 8.460 CATCHME.CFEXE-0F2A0789.pf
17.05.2007 12:38 5.090 CHCP.COM-18156052.pf
17.05.2007 12:38 3.338 REGBINDUMP.CFEXE-28A4A438.pf
17.05.2007 12:38 8.344 NIRCMD.CFEXE-19FF4781.pf
17.05.2007 12:38 11.256 ATTRIB.EXE-39EAFB02.pf
17.05.2007 12:38 6.568 SWXCACLS.CFEXE-365F7973.pf
17.05.2007 12:38 3.940 MTEE.CFEXE-1E067BC7.pf
17.05.2007 12:38 5.686 DUMPHIVE.CFEXE-2ED3B134.pf
17.05.2007 12:38 9.128 SWREG.CFEXE-2BF4FFCD.pf
17.05.2007 12:38 3.918 SED.CFEXE-268D7E58.pf
17.05.2007 12:38 20.162 SETPATH.CFEXE-034E3D26.pf
17.05.2007 12:38 8.614 SWREG.EXE-3560BE42.pf
17.05.2007 12:38 42.112 COMBOFIX.EXE-2DF58670.pf
17.05.2007 12:38 10.344 NIRCMD.EXE-14D31903.pf
17.05.2007 12:37 10.260 TMP33.TMP.EXE-366C4CF9.pf
17.05.2007 12:27 15.658 RUNDLL32.EXE-24DB59AB.pf
17.05.2007 12:27 6.892 TMPA.TMP.EXE-041A7153.pf
17.05.2007 12:27 13.132 UPDATE.EXE-1FD6E598.pf
17.05.2007 12:27 16.508 IS-KHIFF.TMP-16FDC87E.pf
17.05.2007 12:27 17.626 REGSVR32.EXE-25EEFE2F.pf
17.05.2007 12:25 3.656 TMP9.TMP.EXE-0067148B.pf
17.05.2007 12:09 18.594 DRF1179396461[1].HTM.EXE-20A7D432.pf
17.05.2007 12:04 10.222 TMP4.TMP.EXE-01E90572.pf
17.05.2007 12:02 18.294 LOGONUI.EXE-0AF22957.pf
50 Datei(en) 1.525.618 Bytes
0 Verzeichnis(se), 61.329.211.392 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\tasks

17.05.2007 12:39 6 SA.DAT
4 Datei(en) 997 Bytes
0 Verzeichnis(se), 61.329.211.392 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Temp


----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Biering\LOKALE~1\Temp

17.05.2007 13:23 16.384 ~DFD4C8.tmp
17.05.2007 12:42 16.384 ~DF5A8E.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 61.329.211.392 Bytes frei



***********************************

Und hier die Ergebnisse des RootKit-Scanners:


HKU\.DEFAULT\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-1907411925-1449542653-3292285946-1005\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-1907411925-1449542653-3292285946-1005\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 28.01.2005 10:20 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 28.01.2005 10:20 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\cfexefile\DefaultIcon 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\open 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\open\command 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\runas 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\runas\command 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\DropHandler 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\PifProps 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\ShimLayer Property Page 17.

**************************

Hier nochmals das alte Combofix-Log:

(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dhcdll.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\tmp5.tmp.dll
C:\WINDOWS\system32\tmpA.tmp.dll
C:\install.log
C:\WINDOWS\system32\lsasss.exe


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-17 ))))))))))))))))))))))))))))))))))


2007-05-17 12:25 106,638 --a------ C:\WINDOWS\ljghij.dll
2007-05-15 18:39 106,768 --a------ C:\WINDOWS\nnmjhg.dll
2007-05-12 10:37 <DIR> d-------- C:\tinos
2007-05-07 18:03 8,704 --a------ C:\WINDOWS\bmfcr43.dll
2007-05-07 18:03 7,168 --a------ C:\WINDOWS\kbdcan32.exe
2007-05-07 18:03 51,200 --a------ C:\WINDOWS\runtfs32.exe
2007-05-07 18:03 27,136 --a------ C:\WINDOWS\ntmaspi32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-04 14:21:50 111,552 ----a-w C:\WINDOWS\desctemp.dat
2007-03-30 17:43:18 -------- d-----w C:\Programme\Steam
2007-03-19 14:30:50 -------- d-----w C:\Programme\Koch
2007-03-16 17:26:14 20 ----a-w C:\WINDOWS\usage.dat
2007-03-08 13:10:22 0 ----a-w C:\svcipa.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{BDF3E430-B101-42AD-A544-FADC6B084872}=C:\Programme\Norton AntiVirus\NavShExt.dll [2003-08-23 02:49]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-23 12:24]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-04-23 12:24]
"SoundMan"="SOUNDMAN.EXE" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-29 19:40]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-03-29 19:40]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-03-29 19:40]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-03-29 19:40]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-03-29 19:40]
"SetDefPrt"="C:\Programme\Brother\Brmfl04a\BrStDvPt.exe" [2007-03-29 19:40]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2007-03-29 19:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2007-03-29 19:40]
"Arcor Online"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2007-03-29 19:40]
"Steam"="c:\programme\steam\steam.exe" [2007-03-30 19:45]
"Microsoft Webcam Enhance V2.1"="C:\WINDOWS\runtfs32.exe" [2007-05-07 18:03]
"Arcor Online"="" []


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HTTPFilter HTTPFilter
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
DcomLaunch DcomLaunch TermService
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-17 12:39:52
Windows 5.1.2600 Service Pack 2 FAT

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-17 12:40:37 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-17 12:40


--- E O F ---

---> Beim Durchsuchen der Dateien habe ich noch ein Combofixlog gefunden:

Code

2005-03-20 11:48      1120    --a------    C:\Qoobox\Quarantine\C\INSTALL.LOG.vir
2007-03-29 19:40      37586    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\lsasss.exe.vir
2007-05-12 08:12      21895    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\dhcdll.dll.vir
2007-05-16 20:35      38126    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp5.tmp.dll.vir
2007-05-17 12:27      38126    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\tmpA.tmp.dll.vir
2007-05-17 12:38      58    --a------    C:\Qoobox\Quarantine\catchme.log


Auflistung der Ordnerpfade f�r Volume ACER
Volumenummer: 320D-180E
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |   
    +---Registry_backups
    \---C
        |   INSTALL.LOG.vir
        |   
        \---WINDOWS
            \---system32
                    tmp5.tmp.dll.vir
                    tmpA.tmp.dll.vir
                    lsasss.exe.vir
                    dhcdll.dll.vir
                    

*************************************

So, ich hoffe, ich habe alles aus der Antwort von "Virenfinder" erledigt.
Die Aufgabe, die mir "raman" gestellt hat, werde ich an die angegebene Mail senden (wenn ich es denn hinkriege)

Danke schon mal für die weitere Hilfe!

#5 wer will denn schon das alte log ;-) bitte ein neues combofixlog! was ist mit den anderen rootkitscans?

#6 Na ja, wusste ich doch, dass ich nicht alles verstanden habe :-
So, hier das das neue log:

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-17 ))))))))))))))))))))))))))))))))))


2007-05-17 14:09 <DIR> d-------- C:\Programme\RootkitRevealer
2007-05-17 13:20 <DIR> d-------- C:\Programme\hijackthis_199
2007-05-17 13:12 <DIR> d-------- C:\VundoFix Backups
2007-05-17 12:40 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-05-17 12:25 106,638 --a------ C:\WINDOWS\ljghij.dll
2007-05-15 18:39 106,768 --a------ C:\WINDOWS\nnmjhg.dll
2007-05-12 10:37 <DIR> d-------- C:\tinos
2007-05-07 18:03 8,704 --a------ C:\WINDOWS\bmfcr43.dll
2007-05-07 18:03 7,168 --a------ C:\WINDOWS\kbdcan32.exe
2007-05-07 18:03 51,200 --a------ C:\WINDOWS\runtfs32.exe
2007-05-07 18:03 27,136 --a------ C:\WINDOWS\ntmaspi32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-04 14:21:50 111,552 ----a-w C:\WINDOWS\desctemp.dat
2007-03-30 17:43:18 -------- d-----w C:\Programme\Steam
2007-03-19 14:30:50 -------- d-----w C:\Programme\Koch
2007-03-16 17:26:14 20 ----a-w C:\WINDOWS\usage.dat
2007-03-08 13:10:22 0 ----a-w C:\svcipa.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-23 12:24]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-04-23 12:24]
"SoundMan"="SOUNDMAN.EXE" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-29 19:40]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-03-29 19:40]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-03-29 19:40]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-03-29 19:40]
"SetDefPrt"="C:\Programme\Brother\Brmfl04a\BrStDvPt.exe" [2007-03-29 19:40]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2007-03-29 19:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2007-03-29 19:40]
"Arcor Online"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2007-03-29 19:40]
"Steam"="c:\programme\steam\steam.exe" [2007-03-30 19:45]
"Microsoft Webcam Enhance V2.1"="C:\WINDOWS\runtfs32.exe" [2007-05-07 18:03]
"Arcor Online"="" []


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HTTPFilter HTTPFilter
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
DcomLaunch DcomLaunch TermService
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-17 16:01:33
Windows 5.1.2600 Service Pack 2 FAT

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-17 16:02:19 - machine was rebooted
C:\ComboFix2.txt ... 2007-05-17 12:40
C:\ComboFix-quarantined-files.txt ... 2007-05-17 16:02


--- E O F ---


********************************

Und hier das zweite log vom Combifix:

Code

2005-03-20 11:48      1120    --a------    C:\Qoobox\Quarantine\C\INSTALL.LOG.vir
2007-03-29 19:40      37586    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\lsasss.exe.vir
2007-05-12 08:12      21895    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\dhcdll.dll.vir
2007-05-16 20:35      38126    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp5.tmp.dll.vir
2007-05-17 12:27      38126    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\tmpA.tmp.dll.vir
2007-05-17 16:00      116    --a------    C:\Qoobox\Quarantine\catchme.log


Auflistung der Ordnerpfade f�r Volume ACER
Volumenummer: 320D-180E
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |   
    +---Registry_backups
    \---C
        |   INSTALL.LOG.vir
        |   
        \---WINDOWS
            \---system32
                    tmp5.tmp.dll.vir
                    tmpA.tmp.dll.vir
                    lsasss.exe.vir
                    dhcdll.dll.vir
                    

************************************

Bei dem RootKit-Scan habe ich alles geschickt, was im Dokument drinstand. Andere Scans wurden nicht angezeigt. Wo muss ich nachschauen?

#7 dies sind mehrere scanner, alle laufen lassen:
http://www.hijackthis-forum.de/showthread.php?t=20219
internet abschalten netzwerkkabel raus wlan aus. und alle programme, auch antivirenprogramme aus!

#8 Hallo lieber "virenfinder",

jetzt starte ich den nächsten Versuch.
Nachdem auch ich die Prozedur verstanden habe, kommen hier die fast vollständigen Ergebnisse. Es fehlt das Ergebnis von Sophos, da hier die Registrierung nicht geklappt hat. Ich hoffe, dass ist nicht so schlimm.

Und hier die Ergebnisse des RootKit-Scanners:


HKU\.DEFAULT\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-1907411925-1449542653-3292285946-1005\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-1907411925-1449542653-3292285946-1005\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 28.01.2005 10:20 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 28.01.2005 10:20 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\cfexefile\DefaultIcon 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\open 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\open\command 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\runas 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\runas\command 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\DropHandler 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\PifProps 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\ShimLayer Property Page

****************************************
Hier die Überprüfung durch Blacklight:

05/17/07 17:17:40 [Info]: BlackLight Engine 1.0.61 initialized
05/17/07 17:17:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/17/07 17:17:41 [Note]: 7019 4
05/17/07 17:17:41 [Note]: 7005 0
05/17/07 17:17:41 [Note]: 7006 0
05/17/07 17:17:41 [Note]: 7011 420
05/17/07 17:17:41 [Note]: 7026 0
05/17/07 17:17:41 [Note]: 7026 0
05/17/07 17:17:43 [Note]: FSRAW library version 1.7.1021
05/17/07 17:17:57 [Note]: 2000 1012
05/17/07 17:17:57 [Note]: 2000 1012
05/17/07 17:17:57 [Note]: 7007 0

****************************************

Ergebnis des Gmer-Scanners:

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-05-17 17:00:12
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.12 ----

? C:\WINDOWS\system32\DRIVERS\update.sys
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden.

---- EOF - GMER 1.0.12 ----

*******************************************

Ergebnis des Panda Anti-RootKit



nachdem auch ich die Prozedur verstanden habe, kommen hier die fast vollständigen Ergebnisse. S fehlt der Scanner von Sophos, da hier die Registrierung nicht geklappt hat. Ich hoffe, dass ist nicht so schlimm.

Und hier die Ergebnisse des RootKit-Scanners:


HKU\.DEFAULT\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-1907411925-1449542653-3292285946-1005\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-1907411925-1449542653-3292285946-1005\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 17.05.2007 12:40 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 17.05.2007 12:40 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 28.01.2005 10:20 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 28.01.2005 10:20 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\cfexefile\DefaultIcon 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\open 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\open\command 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\runas 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shell\runas\command 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\DropHandler 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\PifProps 17.05.2007 12:38 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\ShimLayer Property Page

****************************************
Hier die Überprüfung durch Blacklight:

05/17/07 17:17:40 [Info]: BlackLight Engine 1.0.61 initialized
05/17/07 17:17:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/17/07 17:17:41 [Note]: 7019 4
05/17/07 17:17:41 [Note]: 7005 0
05/17/07 17:17:41 [Note]: 7006 0
05/17/07 17:17:41 [Note]: 7011 420
05/17/07 17:17:41 [Note]: 7026 0
05/17/07 17:17:41 [Note]: 7026 0
05/17/07 17:17:43 [Note]: FSRAW library version 1.7.1021
05/17/07 17:17:57 [Note]: 2000 1012
05/17/07 17:17:57 [Note]: 2000 1012
05/17/07 17:17:57 [Note]: 7007 0

****************************************

Ergebnis des Gmer-Scanners:

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-05-17 17:00:12
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.12 ----

? C:\WINDOWS\system32\DRIVERS\update.sys
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden.

---- EOF - GMER 1.0.12 ----

*******************************************

Ergebnis des Panda Anti-RootKit

- keine infizierten Dateien gefunden (der Screenshot lässt sich leider nicht einfügen)

*******************************************

Hier das Ergebnis von Trend Micro:

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

***************************************
Der AVG Antirootkit sowie der Bitdefender Antirootkit-ß haben keine verseuchten Dateien gefunden und damit keine Logfile geschrieben.

Zum Schluss habe ich nochmals den Combofix gestartet. Hier ist das Ergebnis:

"Biering" - 2007-05-17 17:35:41 Service Pack 2
ComboFix 07-05.17.V - Running from: "C:\Dokumente und Einstellungen\Biering\Eigene Dateien\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-17 ))))))))))))))))))))))))))))))))))


2007-05-17 17:22 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-05-17 17:21 <DIR> d-------- C:\Programme\RootkitBusterv1.6-1055
2007-05-17 17:13 <DIR> d-------- C:\Programme\PandaAntiRootKit
2007-05-17 17:11 <DIR> d-------- C:\Programme\IZArc
2007-05-17 16:39 1,058,646 --a------ C:\Programme\IZArcCL.exe
2007-05-17 16:38 3,550,028 --a------ C:\Programme\IZArc_Setup.exe
2007-05-17 16:22 682,864 --a------ C:\Programme\blacklight.exe
2007-05-17 14:09 <DIR> d-------- C:\Programme\RootkitRevealer
2007-05-17 13:20 <DIR> d-------- C:\Programme\hijackthis_199
2007-05-17 13:12 <DIR> d-------- C:\VundoFix Backups
2007-05-17 12:40 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-05-17 12:25 106,638 --a------ C:\WINDOWS\ljghij.dll
2007-05-15 18:39 106,768 --a------ C:\WINDOWS\nnmjhg.dll
2007-05-12 10:37 <DIR> d-------- C:\tinos
2007-05-07 18:03 8,704 --a------ C:\WINDOWS\bmfcr43.dll
2007-05-07 18:03 7,168 --a------ C:\WINDOWS\kbdcan32.exe
2007-05-07 18:03 51,200 --a------ C:\WINDOWS\runtfs32.exe
2007-05-07 18:03 27,136 --a------ C:\WINDOWS\ntmaspi32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-04 14:21:50 111,552 ----a-w C:\WINDOWS\desctemp.dat
2007-03-30 17:43:18 -------- d-----w C:\Programme\Steam
2007-03-19 14:30:50 -------- d-----w C:\Programme\Koch
2007-03-16 17:26:14 20 ----a-w C:\WINDOWS\usage.dat
2007-03-08 13:10:22 0 ----a-w C:\svcipa.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-04-23 12:24]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-04-23 12:24]
"SoundMan"="SOUNDMAN.EXE" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-29 19:40]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-03-29 19:40]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-03-29 19:40]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-03-29 19:40]
"SetDefPrt"="C:\Programme\Brother\Brmfl04a\BrStDvPt.exe" [2007-03-29 19:40]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2007-03-29 19:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2007-03-29 19:40]
"Arcor Online"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2007-03-29 19:40]
"Steam"="c:\programme\steam\steam.exe" [2007-03-30 19:45]
"Microsoft Webcam Enhance V2.1"="C:\WINDOWS\runtfs32.exe" [2007-05-07 18:03]
"Arcor Online"="" []


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HTTPFilter HTTPFilter
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
DcomLaunch DcomLaunch TermService
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


Und die zweite File dazu:

Code

2005-03-20 11:48      1120    --a------    C:\Qoobox\Quarantine\C\INSTALL.LOG.vir
2007-03-29 19:40      37586    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\lsasss.exe.vir
2007-05-12 08:12      21895    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\dhcdll.dll.vir
2007-05-16 20:35      38126    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\tmp5.tmp.dll.vir
2007-05-17 12:27      38126    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\tmpA.tmp.dll.vir
2007-05-17 17:36      174    --a------    C:\Qoobox\Quarantine\catchme.log


Auflistung der Ordnerpfade f�r Volume ACER
Volumenummer: 320D-180E
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |   
    +---Registry_backups
    \---C
        |   INSTALL.LOG.vir
        |   
        \---WINDOWS
            \---system32
                    tmp5.tmp.dll.vir
                    tmpA.tmp.dll.vir
                    lsasss.exe.vir
                    dhcdll.dll.vir
                    

***************************************

Und damit nichts fehlt, kommt auch noch mal ein aktuelles Highjack-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:42:22, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Brother\Brmfcmon\brmfcwnd.exe
C:\Programme\hijackthis_199\hjt.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Webcam Enhance V2.1] C:\WINDOWS\runtfs32.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Corel\Suite8\Programs\DAD8.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O20 - AppInit_DLLs:
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

*********************************************+

Ich bin froh, dass es Leute wie dich gibt!
Allein wäre ich durch diesen technischen Wirrwarr nie durchgekommen. Und dass du auch am Feiertag arbeitest, ist noch besser.
Schon mal vielen Dank für die bestimmt bald kommende Antwort

#9 naja, ist keine arbeit sondern freiwillig... ich sehe bei dir kein laufendes antivirenprogramm... kannst du dies bestetigen?
1. benenne die hijackthis.exe in hjt.exe nciht hjt.exe.exe um.
2. lad die datei:
C:\WINDOWS\runtfs32.exe
hier hoch:
http://www.virustotal.com/en/indexf.html
hoch. poste das gesammte ergebniss mit tabellenkopf und aditional informationen. versuch erneut den vundofix laufen zu lassen und poste nochmal ein hijackthis log.

#10 auch bei virustotal hochladen:
C:\WINDOWS\bmfcr43.dll
C:\WINDOWS\kbdcan32.exe
C:\WINDOWS\runtfs32.exe
C:\WINDOWS\ntmaspi32.dll
C:\svcipa.exe

#11 Tja, da hast du Recht gehabt. Hatte vergessen, meine Sicherheitseinstellungen wieder zu aktivieren. Wenn ich mit diesem Drive-Cleaner-Problem fertig bin, lade ich mir sofort das aktuellste Update runter.

Die Datei hjt ist umbenannt.

Die aufgeführten Dateien habe ich alle bei virustotal hochgeladen, jedoch gibt es dort im Moment Wartezeiten von bis zu 35 min. Die letzte von dir gewünschte Datei ließ sich nicht senden, es erschien die Fehlermeldung "ungültige Antwort".
Sobald ich alle Ergebnisse habe, poste ich sie.

#12 hi, navigiere zu der von mir zuletzt genannten datei, erstelle eine kopie von ihr und lad die kopie hoch. du hast norton? ich würde umsteigen. avira antivir ist gut finde ich! wenn du geld ausgeben willst, würde ich premium nehmen. du kannst dir auch mal diesen test ansehen:
http://www.av-comparatives.org/

#13 Auch die Kopie hat nicht funktioniert.
Norton ist zwar installiert, im Moment ist es aber nicht auf dem aktuellsten Stand (alte Version, kein neues Abo erworben). Um alle von dir vorgeschlagenen Tests und Rootkits ausführen zu können, habe ich es gleich komplett deinstalliert.
Die vorgeschlagene Seite schaue ich mir gleich mal an. Für Hinweise von Fachleuten bin ich dankbar, weil jede Firma ihr Produkt als bestes anpreist.
Danke!

#14 hi, bitte instaliere dir ein antivirenprogramm, sonst bist du ja ungeschützt...
www.avira.com dort die freeversion (classik) nehmen. ich nenne dir noch einstellungen für speter. dann lad trotzdem die anderen dateien hoch und poste ergebnisse.

#15 Hier kommen die gewünschten Ergebnisse:

STATUS: FINISHEDComplete scanning result of "runtfs32.exe", received in VirusTotal at 05.17.2007, 18:19:50 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 Win-Trojan/Downloader.50176.M
AntiVir 7.4.0.23 05.17.2007 TR/Hijack.Explor.2504
Authentium 4.93.8 05.16.2007 W32/Backdoor.ALUC
Avast 4.7.997.0 05.17.2007 Win32:Small-EYJ
AVG 7.5.0.467 05.16.2007 Dropper.Generic.KYB
BitDefender 7.2 05.17.2007 Trojan.Spy.Agent.RM
CAT-QuickHeal 9.00 05.17.2007 Backdoor.Small.or
ClamAV devel-20070416 05.17.2007 Trojan.Small-1667
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 Win32.Small.or
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 Backdoor.Small.or
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 Multidr.JD!tr
F-Prot 4.3.2.48 05.16.2007 W32/Backdoor.ALUC
F-Secure 6.70.13030.0 05.17.2007 Backdoor.Win32.Small.or
Ikarus T3.1.1.7 05.17.2007 MalwareScope.Trojan-Spy.BZub.1
Kaspersky 4.0.2.24 05.17.2007 Backdoor.Win32.Small.or
McAfee 5033 05.17.2007 MultiDropper-JD
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Trj/Downloader.ODE
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 Email-Worm.Win32.GOPworm.196
Symantec 10 05.17.2007 Backdoor.Trojan
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 Backdoor.Win32.Small.or
VirusBuster 4.3.7:9 05.17.2007 Backdoor.Small.TQH
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Hijack.Explor.2504


Aditional Information
File size: 51200 bytes
MD5: 5cbef2780c8b59977ae598775bad8ecb
SHA1: 0925a54ba0366a6406d3222e65b03df0ea8cbc11

*********************************

STATUS: FINISHEDComplete scanning result of "bmfcr43.dll", received in VirusTotal at 05.17.2007, 18:20:52 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 BDS/Small.OR
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.17.2007 Win32:Small-EYK
AVG 7.5.0.467 05.16.2007 BackDoor.Generic6.CHO
BitDefender 7.2 05.17.2007 Trojan.Spy.Agent.RM
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.17.2007 Win32.Small.or
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 Backdoor.Small.or
FileAdvisor 1 05.17.2007 High Thread detected
Fortinet 2.85.0.0 05.17.2007 W32/Small.OR!tr.bdr
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 Backdoor.Win32.Small.or
Ikarus T3.1.1.7 05.17.2007 Backdoor.Win32.Small.or
Kaspersky 4.0.2.24 05.17.2007 Backdoor.Win32.Small.or
McAfee 5033 05.17.2007 no virus found
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 W32/Smalldoor.APYD
Panda 9.0.0.4 05.17.2007 Trj/Downloader.ODE
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 Backdoor/Small.or
VBA32 3.12.0 05.16.2007 Backdoor.Win32.Small.or
VirusBuster 4.3.7:9 05.17.2007 Backdoor.Small.TMS
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Small.OR


Aditional Information
File size: 8704 bytes
MD5: 927c14f9beb437229954e982da48ef84
SHA1: 8419e6eda3203ba4d2481538e3c4ba1fe8744496
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=927c14f9beb437229954e982da48ef84

***********************************

STATUS: FINISHEDComplete scanning result of "kbdcan32.exe", received in VirusTotal at 05.17.2007, 18:21:28 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 Win-Trojan/Downloader.7168.QX
AntiVir 7.4.0.23 05.17.2007 TR/Agent.7168.35
Authentium 4.93.8 05.16.2007 could be infected with an unknown virus
Avast 4.7.997.0 05.17.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.467 05.16.2007 Worm/Delf.CFO
BitDefender 7.2 05.17.2007 DeepScan:Generic.Malware.dld!!.FD061573
CAT-QuickHeal 9.00 05.17.2007 no virus found
ClamAV devel-20070416 05.17.2007 no virus found
DrWeb 4.33 05.17.2007 Trojan.DownLoader.20819
eSafe 7.0.15.0 05.17.2007 no virus found
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.17.2007 Downloader.Small
FileAdvisor 1 05.17.2007 No Thread detected
Fortinet 2.85.0.0 05.17.2007 W32/Agent.B!tr
F-Prot 4.3.2.48 05.16.2007 W32/Downloader-Sml-based!Maximus
F-Secure 6.70.13030.0 05.17.2007 W32/DLoader.CQHU
Ikarus T3.1.1.7 05.17.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 05.17.2007 no virus found
McAfee 5033 05.17.2007 W32/Generic.Delphi.b
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2274 05.17.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 05.17.2007 W32/DLoader.CQHU
Panda 9.0.0.4 05.17.2007 Trj/Agent.EYD
Prevx1 V2 05.17.2007 Covert.Sys.Exec
Sophos 4.17.0 05.16.2007 Mal/Binder-C
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 Downloader
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 Trojan.DownLoader.20819
VirusBuster 4.3.7:9 05.17.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Agent.7168.35


Aditional Information
File size: 7168 bytes
MD5: 4dae5309da881c32ca4bc0ddba2f89a4
SHA1: d161006b5eb44c2c2316721eff6b3947adf1f519
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=4dae5309da881c32ca4bc0ddba2f89a4
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=96e488966682

*********************************
Die Datei C:\WINDOWS\ntmaspi32.dll habe ich inzwischen schon zweimal gesendet, da beim ersten Mal der Scan automatisch gestoppt wurde. Leider erhielt ich auch beim zweiten Mal nur dieses Ergebnis:

STATUS: STOPPEDService is stopped in this moments. Scanning of your sample has not been finalized and results has been lost. If you wish to scan it, please send it again.

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 TR/Spy.Agent.RM.2
Authentium 4.93.8 05.16.2007 W32/Backdoor.ALOY
Avast 4.7.997.0 05.17.2007 Win32:Small-EYJ


Aditional Information
File size: 27136 bytes
MD5: 815652968f368552cb57a31c098a5ae1
SHA1: c7dc6dfa1833c2c9e70814feb50bb1394506bf38


***********************************

Jetzt lasse ich den Vundofix nochmals laufen und schicke das Ergebnios zusammen mit dem hijackthis.

++++++++++++++

Habe ein bisschen auf der avira-Site gestöbert und aktiviere nachher gleich den Test-Key für 30 Tage.