Erneut INFOSTEALER(diesmal Notos!gen) bei Routinescan.

#1 Hi.Norton hat diesmal erst beim wöchentl.Routinescan folgende Dateien gemeldet und isoliert:lql641ka.exe und cwz9l3qb.exe /Infostealer.Notos!gen.Wie fange ich mir die DInger eigetnlich ständig.Auffällig, daß ich erst damit sceinbar Probleme habe, seitdem ich bei Action-Soccer dieses Online-Managerspiel spiele.Nachstehend aktuelle Ergebnisse der abgearbeiteten Sachen wie Combofix,Hijackthis und datfind.Bitte um Hilfe bzw. wäre mal interessant, wie das passiert und was man dagegen tun kann.Hätt ich heute nicht gescannt, hätt ich den immer noch drauf.Sehr rätselhaft in der letzten Zeit.Danke für die Hilfe.Und ab geht die Post: :-)

ComboFix 07-08-30.3 - "Privat" 2007-08-31 19:18:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.219 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Privat\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\WINDOWS\system32\MabryObj.dll


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-31 )))))))))))))))))))))))))))))))


2007-08-31 19:17 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-08 13:26 <DIR> d-------- C:\Programme\Ewido-Micro
2007-08-07 07:21 144,896 -----c--- C:\WINDOWS\system32\dllcache\schannel.dll
2007-08-07 07:19 293,376 -----c--- C:\WINDOWS\system32\dllcache\winsrv.dll
2007-08-07 07:18 579,072 -----c--- C:\WINDOWS\system32\dllcache\user32.dll
2007-08-07 07:18 40,960 -----c--- C:\WINDOWS\system32\dllcache\mf3216.dll
2007-08-07 07:18 281,600 -----c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-08-07 07:18 185,856 -----c--- C:\WINDOWS\system32\dllcache\upnphost.dll
2007-08-07 07:18 1,843,712 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2007-08-07 07:16 536,576 -----c--- C:\WINDOWS\system32\dllcache\msado15.dll
2007-08-07 07:16 334,336 -----c--- C:\WINDOWS\system32\dllcache\wiaservc.dll
2007-08-07 07:16 200,704 -----c--- C:\WINDOWS\system32\dllcache\msadox.dll
2007-08-07 07:16 180,224 -----c--- C:\WINDOWS\system32\dllcache\msadomd.dll
2007-08-07 07:16 102,400 -----c--- C:\WINDOWS\system32\dllcache\msjro.dll
2007-08-07 07:15 981,760 -----c--- C:\WINDOWS\system32\dllcache\mfc42u.dll
2007-08-07 07:15 8,494,592 -----c--- C:\WINDOWS\system32\dllcache\shell32.dll
2007-08-07 07:15 539,136 -----c--- C:\WINDOWS\system32\dllcache\msftedit.dll
2007-08-07 07:15 433,152 -----c--- C:\WINDOWS\system32\dllcache\riched20.dll
2007-08-07 07:15 135,168 -----c--- C:\WINDOWS\system32\dllcache\shsvcs.dll
2007-08-07 07:14 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-08-07 07:10 500,278 -----c--- C:\WINDOWS\system32\dllcache\dxmasf.dll
2007-08-07 07:10 246,814 -----c--- C:\WINDOWS\system32\dllcache\strmdll.dll
2007-08-07 07:08 852,480 -----c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-08-07 07:08 73,216 -----c--- C:\WINDOWS\system32\dllcache\magnify.exe
2007-08-07 07:08 55,296 -----c--- C:\WINDOWS\system32\dllcache\narrator.exe
2007-08-07 07:08 50,176 -----c--- C:\WINDOWS\system32\dllcache\utilman.exe
2007-08-07 07:08 36,352 -----c--- C:\WINDOWS\system32\dllcache\umandlg.dll
2007-08-07 07:08 216,576 -----c--- C:\WINDOWS\system32\dllcache\osk.exe
2007-08-07 07:07 36,864 -----c--- C:\WINDOWS\system32\dllcache\hidclass.sys
2007-08-07 07:06 734,208 -----c--- C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-08-07 07:06 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2007-08-07 07:06 132,096 -----c--- C:\WINDOWS\system32\dllcache\wkssvc.dll
2007-08-07 07:06 1,498,112 -----c--- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-07 07:06 1,084,416 -----c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-08-07 07:05 86,528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-08-07 07:05 85,504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-08-07 07:05 65,536 -----c--- C:\WINDOWS\system32\dllcache\nwwks.dll
2007-08-07 07:05 510,976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-08-07 07:05 163,584 -----c--- C:\WINDOWS\system32\dllcache\nwrdr.sys
2007-08-07 07:05 146,432 -----c--- C:\WINDOWS\system32\dllcache\nwprovau.dll
2007-08-07 07:05 1,314,816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll
2007-08-07 07:04 617,472 -----c--- C:\WINDOWS\system32\dllcache\comctl32.dll
2007-08-07 07:04 225,664 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2007-08-07 07:04 100,352 -----c--- C:\WINDOWS\system32\dllcache\6to4svc.dll
2007-08-07 07:03 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2007-08-07 07:03 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-08-07 07:03 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-08-07 07:03 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-08-07 07:03 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2007-08-07 07:02 82,944 -----c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2007-08-07 07:02 69,120 -----c--- C:\WINDOWS\system32\dllcache\ciodm.dll
2007-08-07 07:02 6,400 -----c--- C:\WINDOWS\system32\dllcache\splitter.sys
2007-08-07 07:02 172,416 -----c--- C:\WINDOWS\system32\dllcache\kmixer.sys
2007-08-07 07:02 1,441,792 -----c--- C:\WINDOWS\system32\dllcache\query.dll
2007-08-07 07:01 8,192 -----c--- C:\WINDOWS\system32\dllcache\rasadhlp.dll
2007-08-07 07:01 683,520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-07 07:00 57,344 --a--c--- C:\WINDOWS\system32\dllcache\agentdpv.dll
2007-08-07 07:00 42,496 -----c--- C:\WINDOWS\system32\dllcache\agentdp2.dll
2007-08-07 07:00 256,512 -----c--- C:\WINDOWS\system32\dllcache\agentsvr.exe
2007-08-07 06:59 59,264 -----c--- C:\WINDOWS\system32\dllcache\usbhub.sys
2007-08-07 06:59 30,208 -----c--- C:\WINDOWS\system32\dllcache\usbehci.sys
2007-08-07 06:59 20,608 -----c--- C:\WINDOWS\system32\dllcache\usbuhci.sys
2007-08-07 06:59 17,152 -----c--- C:\WINDOWS\system32\dllcache\usbohci.sys
2007-08-07 06:59 143,488 -----c--- C:\WINDOWS\system32\dllcache\usbport.sys
2007-08-07 06:58 52,736 -----c--- C:\WINDOWS\system32\dllcache\wzcsapi.dll
2007-08-07 06:58 476,160 -----c--- C:\WINDOWS\system32\dllcache\wzcsvc.dll
2007-08-07 06:58 384,512 -----c--- C:\WINDOWS\system32\dllcache\wzcdlg.dll
2007-08-07 06:58 14,592 -----c--- C:\WINDOWS\system32\dllcache\ndisuio.sys
2007-08-07 06:58 1,724,416 -----c--- C:\WINDOWS\system32\dllcache\netshell.dll
2007-08-07 06:57 332,928 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2007-08-07 06:56 95,744 -----c--- C:\WINDOWS\system32\dllcache\iphlpapi.dll
2007-08-07 06:56 453,248 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-08-07 06:56 174,592 -----c--- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-08-07 06:56 148,480 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2007-08-07 06:56 112,128 -----c--- C:\WINDOWS\system32\dllcache\dhcpcsvc.dll
2007-08-07 06:53 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2007-08-07 06:53 181,248 -----c--- C:\WINDOWS\system32\dllcache\rasmans.dll
2007-08-07 06:52 397,312 --------- C:\WINDOWS\system32\mmcex.dll
2007-08-07 06:52 33,792 --------- C:\WINDOWS\system32\mmcperf.exe
2007-08-07 06:52 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll
2007-08-07 06:52 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll
2007-08-07 06:52 <DIR> d-------- C:\WINDOWS\system32\de
2007-08-07 06:46 715,776 -----c--- C:\WINDOWS\system32\dllcache\sxs.dll
2007-08-07 06:46 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2007-08-07 06:46 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2007-08-07 06:46 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2007-08-07 06:46 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2007-08-07 06:46 1,059,840 -----c--- C:\WINDOWS\system32\dllcache\kernel32.dll
2007-08-07 06:45 2,184,448 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2007-08-07 06:45 2,140,160 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-08-07 06:45 2,061,696 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2007-08-07 06:45 2,019,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2007-08-07 06:40 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-07-30 14:22 <DIR> d-------- C:\Programme\Lexmark Z700-P700 Series
2007-07-29 16:06 <DIR> d-------- C:\DOKUME~1\Privat\ANWEND~1\FotoTime
2007-07-09 19:16 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-07-09 19:16 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-07-09 19:16 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-07-09 19:16 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-07-09 19:16 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-31 17:52 --------- d-------- C:\Programme\WinSpeedUp
2007-08-31 17:47 --------- d-------- C:\Programme\eMule
2007-08-31 16:44 --------- d-------- C:\Programme\Microsoft Money
2007-08-24 18:17 --------- d-------- C:\Programme\MSN Messenger
2007-08-24 18:12 --------- d-------- C:\DOKUME~1\Privat\ANWEND~1\ppStream
2007-08-24 18:11 --------- d-------- C:\Programme\PPMate
2007-08-18 12:02 --------- d-------- C:\Programme\TVUPlayer
2007-08-14 23:06 --------- d-------- C:\Programme\DivX
2007-08-13 15:17 --------- d-------- C:\Programme\Pixia
2007-08-07 10:32 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-08-07 10:32 --------- d-------- C:\DOKUME~1\Privat\ANWEND~1\Real
2007-07-28 16:26 --------- d-------- C:\Programme\TVAnts
2007-07-04 20:50 --------- d-------- C:\Programme\Spiele
2007-07-01 21:30 --------- d-------- C:\Programme\ICQLite
2007-06-01 22:41 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2002-04-16 14:32 77824 --a------ C:\Programme\xp-AntiSpy3D.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-04-29 13:55]
"iamapp"="C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE" [2003-04-30 13:08]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

R2 NISSERV;Symantec Client Firewall Service;C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
R3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys
R3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys
S1 rlx6dob6;rege memory mapper;\??\C:\WINDOWS\system32\rlx6dob6.sys
S3 G400DH;G400DH;C:\WINDOWS\system32\DRIVERS\g400dhm.sys
S3 mgau;mgau;C:\WINDOWS\system32\DRIVERS\mgaum.sys
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 nv3;nv3;C:\WINDOWS\system32\DRIVERS\nv3.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-31 19:25:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-31 19:28:33 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-31 19:28

--- E O F ---



Logfile of HijackThis v1.99.1
Scan saved at 19:31:08, on 31.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\mgabg.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\ATRACK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
O23 - Service: Symantec Client Firewall Accounts-Manager (NISUM) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe

DATFIND:
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E064-CF6B

Verzeichnis von C:\WINDOWS\system32

31.08.2007 18:30 2.496 d3d8caps.dat
27.08.2007 20:06 2.206 wpa.dbl
24.08.2007 22:10 16.832 amcompat.tlb
24.08.2007 22:10 23.392 nscompat.tlb
24.08.2007 19:55 311.604 perfh009.dat
24.08.2007 19:55 39.992 perfc009.dat
24.08.2007 19:55 316.594 perfh007.dat
24.08.2007 19:55 48.156 perfc007.dat
24.08.2007 19:55 721.390 PerfStringBackup.INI
07.08.2007 07:27 126.112 FNTCACHE.DAT
07.08.2007 07:09 3.528 TZLog.log
22.07.2007 18:39 279.552 swreg.exe
20.06.2007 20:46 266.088 xactengine2_8.dll
20.06.2007 20:45 18.280 x3daudio1_2.dll
15.06.2007 20:50 3.176 gafilter.sti
15.06.2007 20:50 4.808 gaeffect.sti
15.06.2007 19:01 24 Kene32.uns
02.06.2007 18:31 3.268 d3d9caps.dat
01.06.2007 22:41 98.304 CmdLineExt.dll

#2 Scanne mal mit Blacklight von F-secure http://www.f-secure.com/blacklight/
info http://www.virus-protect.org/artikel/tools/rootkithook.html
__________
MfG Argus

#3 Danke Arnold.Habe ich gemacht.Fass nochmal zusammen:
1.) Nachdem ich gestern die Punkte in meiner "Antrittsrede" abgearbeitet habe, wie ComboFix oder Datfind (siehe oben) ,meldete sich heute morgen beim nächsten Start wieder Norton mit ner Virusmeldung zum gleichen Infostealer in "C:\System Volume Information\_restore{F53EBB43-CAD7-4C9F-8383-55427DC290FE}\RP5\" (isoliert)
2.)Kann die auf die c:\ von Combofix angelegten Pfade bzw.Ordner eigentlich jetzt löschen?
3.)Wäre nett wenn mir kurz jemand erkläre könnte, wo ich mir in letzter Zeit diese Dinger immer fange,damit ich da vorsichtiger sein kann.Ist es ,wie vermutet dieses Online-Mangerspiel Action-soccer oder emule evtl.Sonst mach ich fast nix "anrüchiges" :-)
DANKE für die Antworten im voraus !!! Also, BlackLight hat folgende logfile nach dem ersten Scan erstelltund nichts gefunden)

09/01/07 13:48:44 [Info]: BlackLight Engine 1.0.64 initialized
09/01/07 13:48:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/01/07 13:48:44 [Note]: 7019 4
09/01/07 13:48:44 [Note]: 7005 0
09/01/07 13:49:15 [Note]: 7006 0
09/01/07 13:49:15 [Note]: 7011 1344
09/01/07 13:49:16 [Note]: 7026 0
09/01/07 13:49:16 [Note]: 7026 0
09/01/07 13:49:26 [Note]: FSRAW library version 1.7.1022

Habe danach die anderen Schritte bzw. nochmal gestartet aber da keine Dateien angezeigt werden kann auch nichts umändern,oder hab ich was übersehen? 1000DANK !!!

#4 Entferne auf C:\Qoobox-->Papierkorb leeren

Prüfe mal diese Datei(en) bei

C:\WINDOWS\system32\rlx6dob6.sys

VT
Stand alone DrWeb
Stand alone Kaspersky

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus

#5 hallo Arnold.würd ich gerne aber die ist komischerweise nicht mehr da.aber diese Datei kenn ich vom Infostealer.ldpinch von vor einigen wochen.siehe mein thema Infostelaer.ldpinch.damals fing die geschichte eigentlich an mit dem einloggen bei action-soccer.trotzdem sysmtewiederherstellung ausstellen und neu starten?hatte übringens nachdem ldpinch die sys.wiederherstellung die ganze zeit aus und meine, ich hätte dadruch eigentlich ruhe gehabt, bis ich diese vor tagen wegen mediaplayer rollback wieder anstellen musste.naja egal.was kann ich noch tun?danke.gruss Oilers-jupp

hi Arnold.Also,die Datei C:\WINDOWS\system32\rlx6dob6.sys finde ich nicht.Ist das oben ein alter Eintrag Systemwiederherstellungspunkt?Ich habe diese Datei damals nämlich löschen können.Hab nochmals ComboFix drüber laufen lassen und dieser Eintrag erscheint wie oben wieder.Obwohl ich alle alten Sys.wiederherstellungspunkte gelöscht habe und die SWH nun deaktiviert habe.Hilft mir das eigentlich weiter?Danke und Gruss OJ