Antivirus-Programm wurde gelöscht (aber nicht von mir)

#0
06.09.2007, 11:12
Member

Beiträge: 11
#1 Ein Hallo in die Runde.
Ich habe ein Problem.
Ich vermute ich habe mir einen Virus oder einen Trojaner eingefangen.
Das blöde aber ist, dass dieses Biest das Antivirenprogramm gelöscht hat.
Eine Neuinstalation bringt nichts, da die ausfürbaren Datein sofort wieder gelöscht werden.
Einen älteren Wiederherstellungspunkt nutzten macht der PC auch nicht mehr.
Ich habe schonmal hijackthis laufenlassen.
Anbei das Protokoll.
Ich hoffe jemand kann mir helfen dem Bösewicht auf die schliche zu kommen.
Vielen Dank schon erst mal.

Henry


Logfile of HijackThis v1.99.1
Scan saved at 11:05:03, on 06.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe
C:\Programme\klickTel\KSTART32.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity trial\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = C:\Programme\klickTel\KSTART32.EXE
O4 - Startup: WPaper.lnk = C:\Programme\WPaper\WPaper.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Dieser Beitrag wurde am 06.09.2007 um 12:00 Uhr von age.ef editiert.
Seitenanfang Seitenende
06.09.2007, 13:13
Member
Avatar felixx

Beiträge: 62
#2 Hallo,

in deinem logfile ist so nichts zu erkennen. Benenne die hijackthis.exe in z.B. abc.exe um und erstelle ein neues logfile (auch den Ordner umbennen!). Virenproggis verstecken sich oft vor dem Programm.

Führe einen escan durch, wie in meiner Signatur verlinkt und poste das vollständige logfile. Halte dich bitte genau an diese Anleitung. Das Proggi ist nur zur Analyse und nicht zum entfernen. Bitte vorher auch Systemwiederherstellung deaktivieren.

Gruss Felixx
__________
*virustotal*
*escan*
Seitenanfang Seitenende
06.09.2007, 14:46
Member

Themenstarter

Beiträge: 11
#3 Ich habe ein neues Logfile mit hijackthis und escan laufen lassen.
hier die logfiles:


Logfile of HijackThis v1.99.1
Scan saved at 13:18:31, on 06.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe
C:\Programme\klickTel\KSTART32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\G DATA InternetSecurity Trial\GUI\AVKIS.exe
C:\Programme\G DATA InternetSecurity Trial\AVK\avk.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\Admin.exe
C:\Programme\G DATA InternetSecurity Trial\ASK\ask.exe
C:\Programme\G DATA InternetSecurity Trial\AVKStatus\AVKStatus.exe
C:\Programme\G DATA InternetSecurity Trial\Webfilter\AvkWeb.exe
C:\Programme\G DATA InternetSecurity Trial\AVKKid\AVKKid.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klaus\Desktop\aaa\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity trial\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = C:\Programme\klickTel\KSTART32.EXE
O4 - Startup: WPaper.lnk = C:\Programme\WPaper\WPaper.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe



starting as "C:\bases\findmwav.bat"

---------- C:\RESULTS.TXT

Thu Sep 06 13:48:49 2007 => File C:\WINDOWS\system32\ntoskrnl.exe infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
Thu Sep 06 14:35:05 2007 => File C:\WINDOWS\system32\ntoskrnl.exe infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
Thu Sep 06 14:37:25 2007 => File D:\Eigene Dateien\desktop.ini infected by "VB.CO.Leftover" Virus! Action Taken: No Action Taken.


Thu Sep 06 13:47:48 2007 => System found infected with cws.loadbat Browser Hijacker (hp.htm)! Action taken: No Action Taken.
Thu Sep 06 13:47:48 2007 => Offending file found: D:\word u. exel dokumente\refill\hp.htm

Thu Sep 06 13:47:41 2007 => Object "NULLBYTE Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Sep 06 14:38:45 2007 => Total Objects Scanned: 76172
Thu Sep 06 14:38:45 2007 => Total Critical Objects: 5
Thu Sep 06 14:38:45 2007 => Total Disinfected Objects: 0
Thu Sep 06 14:38:45 2007 => Total Objects Renamed: 0
Thu Sep 06 14:38:45 2007 => Total Deleted Objects: 0

Thu Sep 06 13:34:13 2007 => Virus Database Date: 9/5/2007
Thu Sep 06 13:34:13 2007 => Virus Database Count: 404109
Thu Sep 06 13:34:35 2007 => Virus Database Date: 9/6/2007
Thu Sep 06 13:34:35 2007 => Virus Database Count: 404665
Thu Sep 06 13:40:42 2007 => Virus Database Date: 9/6/2007
Thu Sep 06 13:40:42 2007 => Virus Database Count: 404665
Thu Sep 06 14:38:45 2007 => Virus Database Date: 9/6/2007
Thu Sep 06 14:38:45 2007 => Virus Database Count: 404665
Thu Sep 06 14:39:52 2007 => Virus Database Date: 9/6/2007
Thu Sep 06 14:39:52 2007 => Virus Database Count: 404665

Mit freundlichem Gruß

Henry



Ich habe auch Cobmbofix und Hijackthis 2.0.2. laufen lassen
Hier die logfiles

ComboFix 07-08-30.3 - "Klaus" 2007-09-06 14:49:41.1 - NTFS x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.622 [GMT 2:00]
C:\WINDOWS\system32\chkdsk.exe not present

ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Das System kann die angegebene Datei nicht finden.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Klaus\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Klaus\Desktop\internet explorer.lnk
C:\WINDOWS\exefld
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-08-06 to 2007-09-06 )))))))))))))))))))))))))))))))


2007-09-06 14:49 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-06 13:34 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-06 13:30 287 --a------ C:\startmwav.bat
2007-09-06 13:30 <DIR> d-------- C:\bases
2007-09-06 13:29 153,600 --a------ C:\WINDOWS\R.COM
2007-09-06 13:29 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-09-06 13:26 19,148,216 --a------ C:\mwav.exe
2007-09-06 13:20 <DIR> d-------- C:\Programme\CCleaner
2007-09-06 13:04 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-09-06 13:01 <DIR> d-------- C:\DOKUME~1\Klaus\.housecall6.6
2007-08-30 15:59 <DIR> d-------- C:\DOKUME~1\Henry\ANWEND~1\Brother
2007-08-30 15:01 1,412 --a------ C:\WINDOWS\mozver.dat
2007-08-30 14:33 <DIR> d-------- C:\DOKUME~1\Henry\ANWEND~1\AdobeUM
2007-08-30 14:20 <DIR> d-------- C:\DOKUME~1\Henry\ANWEND~1\TrueCrypt
2007-08-30 14:19 188,672 --a------ C:\WINDOWS\system32\drivers\truecrypt.sys
2007-08-28 17:52 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-28 17:04 <DIR> d-------- C:\Programme\WPaper
2007-08-28 16:39 <DIR> dr-h----- C:\DOKUME~1\Henry\Anwendungsdaten
2007-08-28 16:39 <DIR> dr------- C:\DOKUME~1\Henry\Startmen
2007-08-28 16:39 <DIR> dr------- C:\DOKUME~1\Henry\Favoriten
2007-08-28 16:39 <DIR> dr------- C:\DOKUME~1\Henry\Eigene Dateien
2007-08-28 16:39 <DIR> d--h----- C:\DOKUME~1\Henry\Netzwerkumgebung
2007-08-28 16:39 <DIR> d--h----- C:\DOKUME~1\Henry\Lokale Einstellungen
2007-08-28 16:39 <DIR> d--h----- C:\DOKUME~1\Henry\Druckumgebung
2007-08-28 16:39 <DIR> d-------- C:\DOKUME~1\Henry\Vorlagen
2007-08-25 17:56 2,138,624 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-08-25 17:46 <DIR> d-------- C:\Programme\WinTV
2007-08-25 15:14 40,400 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2007-08-25 15:14 20,096 --a------ C:\WINDOWS\system32\drivers\GDNdisIc.sys
2007-08-25 15:13 <DIR> d-------- C:\WINDOWS\gear_dlls
2007-08-25 15:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2007-08-25 15:13 <DIR> d-------- C:\Programme\G DATA InternetSecurity Trial
2007-08-25 15:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\G DATA
2007-08-25 15:12 <DIR> d-------- C:\DOKUME~1\Klaus\ANWEND~1\InstallShield
2007-08-25 14:55 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-08-21 21:55 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-08-16 21:06 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-08-16 21:05 <DIR> d-------- C:\Programme\MSXML 6.0
2007-08-09 22:50 <DIR> d-------- C:\Programme\Hausverwaltung
2007-08-07 21:13 <DIR> d-------- C:\Programme\UniBuch
2007-08-07 06:48 <DIR> d-------- C:\WINDOWS\system32\Viewer
2007-08-07 06:48 <DIR> d-------- C:\WINDOWS\system32\Doerr
2007-08-07 06:48 <DIR> d-------- C:\Programme\Nebenkosten easy
2007-08-07 06:28 48,128 --------- C:\WINDOWS\AKDeInstall.exe
2007-08-07 06:28 <DIR> d-------- C:\Programme\Heizkosten easy


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-09-06 14:48 --------- d-------- C:\Programme\TAX 2007
2007-09-06 13:35 --------- d-------- C:\Programme\klickTel
2007-09-05 23:42 --------- d-------- C:\Programme\Quicken2006
2007-09-02 08:25 --------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\BDHTHELP
2007-08-26 09:50 --------- d-------- C:\Programme\Emule
2007-08-25 23:22 --------- d-------- C:\Programme\Wallpaper
2007-08-25 15:13 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-25 15:10 --------- d-------- C:\Programme\Multi_Media
2007-08-25 13:28 --------- d-------- C:\Programme\TAX 2006
2007-08-21 22:05 --------- d-------- C:\Programme\TAX 2005
2007-08-21 22:05 --------- d-------- C:\Programme\TAX 2004
2007-08-14 16:26 --------- d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-07-29 11:55 --------- d-------- C:\Programme\DynGate
2007-07-21 13:39 --------- d-------- C:\DOKUME~1\Klaus\ANWEND~1\Mp3tag
2007-07-17 21:29 --------- d-------- C:\Programme\PhotoFiltre
2007-07-11 11:18 --------- d-------- C:\Programme\Ages
2007-06-29 19:26 245408 --a------ C:\WINDOWS\system32\unicows.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2006-12-31 13:23 770751063 --a------ C:\Programme\Acronis.True.Image.Workstation.v.9.1.3854.German-RESTORE.rar


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVKTray"="C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe" [2007-01-23 14:15]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22]
"SetDefPrt"="C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 19:02]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 17:39]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 18:01]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [2006-04-10 15:58]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [2006-03-28 16:48]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-29 22:10]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 07:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 03:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"


R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys
R1 SSHDRV61;SSHDRV61;\??\C:\WINDOWS\system32\drivers\SSHDRV61.sys
R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R2 GDTdiInterceptor;GDTdiInterceptor;\??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys
R3 EMCR;EMCR;C:\WINDOWS\system32\DRIVERS\EMCR7SK.sys
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
R3 st3bus28;st3bus28;C:\WINDOWS\system32\DRIVERS\st3bus28.sys
R3 st3mp28;st3mp28;C:\WINDOWS\system32\DRIVERS\st3mp28.sys
S2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"
S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys
S3 BrSerWDM;Brother WDM-Treiber (seriell);C:\WINDOWS\system32\Drivers\BrSerWdm.sys
S3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);C:\WINDOWS\system32\Drivers\BrUsbMdm.sys
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);C:\WINDOWS\system32\Drivers\BrUsbScn.sys
S3 mf;mf;C:\WINDOWS\system32\DRIVERS\mf.sys
S3 PCD61X2;PCD61X2;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X2.sys
S3 PCD61X3;PCD61X3;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X3.sys
S3 PCD61X4;PCD61X4;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X4.sys
S3 PCD61X5;PCD61X5;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X5.sys
S3 PCD61X6;PCD61X6;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X6.sys
S3 PCD61X7;PCD61X7;\??\C:\DOKUME~1\Klaus\LOKALE~1\Temp\PCD61X7.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME

Contents of the 'Scheduled Tasks' folder
2007-08-31 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-06 14:50:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\exefqd

scan completed successfully
hidden files: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"

Completion time: 2007-09-06 14:51:15
C:\ComboFix-quarantined-files.txt ... 2007-09-06 14:51

--- E O F ---


UND


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:00, on 06.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe
C:\Programme\klickTel\KSTART32.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = C:\Programme\klickTel\KSTART32.EXE
O4 - Startup: WPaper.lnk = C:\Programme\WPaper\WPaper.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7153 bytes
Dieser Beitrag wurde am 06.09.2007 um 14:58 Uhr von age.ef editiert.
Seitenanfang Seitenende
06.09.2007, 15:11
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

sehr schlecht:
Rootkit srosa gefunden (system 32\drivers\srosa.sys)!
Neu aufsetzten ist wahrscheinlich das Beste...

Ohne Gewähr (das die Kiste danach noch läuft!):
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Abgesicherter Modus!
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys

folders to delete:
%SystemDrive%\WINDOWS\exefnd

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Chris
Seitenanfang Seitenende
06.09.2007, 15:24
Member

Themenstarter

Beiträge: 11
#5

Zitat

Chris4You postete
Hi,

sehr schlecht:
Rootkit srosa gefunden (system 32\drivers\srosa.sys)!
Neu aufsetzten ist wahrscheinlich das Beste...

Ohne Gewähr (das die Kiste danach noch läuft!):
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Abgesicherter Modus!
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys

folders to delete:
%SystemDrive%\WINDOWS\exefnd

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32


Chris
Ich komme nicht in den abgesicherten Modus
Aber ich komme wohl nicht um ein neuaufsetzen rum.
Gibt es da etwas zu beachten.
Grade weil es ein Rootkit ist?

Henry
Seitenanfang Seitenende
06.09.2007, 15:28
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

probier es mal im "normalen" Mode!
Das sollte gehen...

chris

Ps.: Bei Erfolg gleich noch mal die Orgie mit combofix etc., Antivir installieren, einstellen wie hier: http://board.protecus.de/t23979.htm und full scann!
Seitenanfang Seitenende
06.09.2007, 18:52
...neu hier

Beiträge: 6
#7 Was ist denn so schlimm an diesen ROOTKIDS???
Wo kann man sich die einfangen?
Gruß Daniel
Seitenanfang Seitenende
06.09.2007, 22:16
Member
Avatar felixx

Beiträge: 62
#8

Zitat

Was ist denn so schlimm an diesen ROOTKIDS???
Wo kann man sich die einfangen?
Gruß Daniel
Hier, kleine Lektüre ;-)
http://de.wikipedia.org/wiki/Rootkit
__________
*virustotal*
*escan*
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: