Trojaner Flec006 = Beagle ist am wüten...

#1 Hallo,

ich versuch es kurz zu machen:
Gestern hatte ich mich gewundert, dass ich kein 'Avira-Symbol' mehr unten im Task hatte. Im zugehörigen Ordner war die 'EXE' verschwunden. Habe das Programm - und auch weitere Virenprogramme - versucht (neu) zu installieren, aber das ging nicht, weil einige zugehörige Dateien nicht extraiert werden konnten.
Die XP-Firewall ist bei Systemstart abgemeldet; auch der Sicherheitsdienst. Ich kann diese aktivieren, aber bei Systemstart ist wieder alles deaktiviert. Das war vorher nicht so.

Ein Start im 'Abgesicherten Modus' ist nicht möglich!

In den XP-Firewall-Einstellungen viel mir bei den Außnahmen/Port-Freigabe der Eintrag 'Flec006' auf. Der war garantiert nicht von mir. Im Internet habe ich dann festgestellt, dass es ein 'Trojaner' ist- BEAGLE.32. Habe ein Verzeichnis mit dem Namen 'm' entdecken können, wo sich eine Datei:'Flec006.exe' befand und diese gelöscht.
Aber die steckt im Papierkorb und lässt sich nicht gänzlich löschen. Hier kommt die Meldung: 'Der Ordner DD3 kann nicht gelöscht werden, das Verzeichnis ist nicht leer' - dabei heisst der Ordner doch 'm'???

Bitte um schnelle Hilfe! (:

#2 Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

TeaTimer von Spybot S & D deaktivieren
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Erstellen eines Hijackthis-Logfiles

Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

DatFindbat
Download datFindbat zum Desktop
Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in Windows\System32\ ;Downloaded Program Files\ ;Windows\ und C:\ und den temporären Dateien befindet.

Jetzt steht auf C:\
C:\Down
C:\Sys
C:\System
C:\System32
C:\System Temp
C:\Temp
Kopiere den Inhalt des Berichts bis auf 3 Monate!
__________
MfG Argus

#3 ComboFix 07-09-10.6 - "Renate" 2007-09-11 1:03:43.1 - NTFS x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.50 [GMT 2:00]
D:\WINDOWS1\system32\chkdsk.exe Fehlt
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS1\exefld
D:\WINDOWS1\exefld\284178.exe
D:\WINDOWS1\pack.epk
D:\WINDOWS1\system32\cxbqfbxtje.dat
D:\WINDOWS1\system32\cxbqfbxtje_nav.dat
D:\WINDOWS1\system32\cxbqfbxtje_navps.dat
D:\WINDOWS1\system32\drivers\hidr.exe
D:\WINDOWS1\system32\drivers\srosa.sys
D:\WINDOWS1\system32\nvs2.inf
D:\WINDOWS1\system32\wintems.exe


((((((((((((((((((((((( Dateien erstellt von 2007-08-10 bis 2007-09-10 ))))))))))))))))))))))))))))))
.

2007-09-11 01:02 51,200 --a------ D:\WINDOWS1\NirCmd.exe
2007-09-11 00:28 (2) -rahs-ot- D:\WINDOWS1\winstart.bat
2007-09-11 00:14 25,773 --a------ D:\WINDOWS1\system32\drivers\regguard.sys
2007-09-11 00:12 <DIR> d-------- D:\Programme\Greatis
2007-09-10 22:55 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Help
2007-09-10 22:46 <DIR> d-------- D:\Programme\Security Task Manager
2007-09-10 22:46 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\SecTaskMan
2007-09-10 20:30 8,704 --a------ D:\WINDOWS1\system32\drivers\powvvbqqvkpq.sys
2007-09-10 20:16 8,704 --a------ D:\WINDOWS1\system32\drivers\mhannydndoin.sys
2007-09-10 20:10 8,704 --a------ D:\WINDOWS1\system32\drivers\mobmpflefbya.sys
2007-09-10 19:19 44,672 --a------ D:\WINDOWS1\system32\drivers\SDTHOOK.SYS
2007-09-10 19:18 8,704 --a------ D:\WINDOWS1\system32\drivers\epvuehmknpdu.sys
2007-09-10 08:08 <DIR> d---s---- D:\DOKUME~1\RENATE~1.REN\UserData
2007-09-10 06:27 <DIR> d--h----- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\m
2007-09-10 00:12 <DIR> d-------- D:\Programme\Activision Value
2007-09-09 07:42 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Trymedia
2007-09-09 06:48 <DIR> d-------- D:\DOKUME~1\RENATE~1\LOKALE~1
2007-09-06 23:34 271,224 --a------ D:\WINDOWS1\system32\mucltui.dll
2007-09-06 23:34 207,736 --a------ D:\WINDOWS1\system32\muweb.dll
2007-09-06 23:27 32,592 --a------ D:\WINDOWS1\system32\msonpmon.dll
2007-09-06 23:22 <DIR> d-------- D:\Programme\MSBuild
2007-09-06 23:05 <DIR> d-------- D:\WINDOWS1\SHELLNEW
2007-09-06 23:04 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Microsoft Help
2007-09-06 23:02 <DIR> dr-h----- D:\MSOCache
2007-09-06 21:52 <DIR> d-------- D:\Programme\IsoBuster
2007-09-06 05:33 <DIR> d-------- D:\Programme\Yahtzee 123
2007-09-06 05:15 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\MSN6
2007-09-06 05:04 57,344 --a------ D:\WINDOWS1\system32\sol.exe
2007-09-06 05:04 55,808 --a------ D:\WINDOWS1\system32\freecell.exe
2007-09-06 05:04 128,000 --a------ D:\WINDOWS1\system32\mshearts.exe
2007-09-06 05:04 120,320 --a------ D:\WINDOWS1\system32\winmine.exe
2007-09-06 05:03 539,136 --a------ D:\WINDOWS1\system32\spider.exe
2007-09-06 03:08 23,040 -----c--- D:\WINDOWS1\system32\dllcache\fltmc.exe
2007-09-06 03:08 16,896 -----c--- D:\WINDOWS1\system32\dllcache\fltlib.dll
2007-09-06 03:08 128,896 -----c--- D:\WINDOWS1\system32\dllcache\fltmgr.sys
2007-09-05 03:06 <DIR> d--h----- D:\WINDOWS1\$hf_mig$
2007-09-04 19:32 139,776 --a--c--- D:\WINDOWS1\system32\dllcache\sndvol32.exe
2007-09-04 19:32 139,776 --a------ D:\WINDOWS1\system32\sndvol32.exe
2007-09-04 18:50 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Skype
2007-09-04 04:36 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Raxco
2007-09-04 04:36 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Raxco
2007-09-04 04:35 <DIR> d-------- D:\Programme\Raxco
2007-09-04 04:05 <DIR> d-------- D:\WINDOWS1\system32\NtmsData
2007-09-04 03:00 364,544 --------- D:\WINDOWS1\system32\TwnLib4.dll
2007-09-04 02:18 5,888 --------- D:\WINDOWS1\system32\drivers\imagedrv.sys
2007-09-04 02:18 127,488 --------- D:\WINDOWS1\system32\drivers\imagesrv.sys
2007-09-04 02:17 476,320 --------- D:\WINDOWS1\system32\ImagXpr7.dll
2007-09-04 02:17 471,040 --------- D:\WINDOWS1\system32\ImagXRA7.dll
2007-09-04 02:17 262,144 --------- D:\WINDOWS1\system32\ImagXR7.dll
2007-09-04 02:17 155,648 --a------ D:\WINDOWS1\system32\NeroCheck.exe
2007-09-04 02:17 106,496 --a------ D:\WINDOWS1\system32\TwnLib20.dll
2007-09-04 02:17 1,568,768 --------- D:\WINDOWS1\system32\ImagX7.dll
2007-09-04 02:17 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Ahead
2007-09-04 02:17 <DIR> d-------- D:\Programme\Ahead
2007-09-04 01:21 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\vlc
2007-09-04 01:18 <DIR> d-------- D:\Programme\VideoLAN
2007-09-04 00:52 444,776 --a------ D:\WINDOWS1\system32\d3dx10_35.dll
2007-09-04 00:52 443,752 --a------ D:\WINDOWS1\system32\d3dx10_34.dll
2007-09-04 00:52 3,727,720 --a------ D:\WINDOWS1\system32\d3dx9_35.dll
2007-09-04 00:52 3,497,832 --a------ D:\WINDOWS1\system32\d3dx9_34.dll
2007-09-04 00:52 267,112 --a------ D:\WINDOWS1\system32\xactengine2_9.dll
2007-09-04 00:52 266,088 --a------ D:\WINDOWS1\system32\xactengine2_8.dll
2007-09-04 00:52 18,280 --a------ D:\WINDOWS1\system32\x3daudio1_2.dll
2007-09-04 00:52 1,358,192 --a------ D:\WINDOWS1\system32\D3DCompiler_35.dll
2007-09-04 00:52 1,124,720 --a------ D:\WINDOWS1\system32\D3DCompiler_34.dll
2007-09-04 00:50 2,297,552 --a------ D:\WINDOWS1\system32\d3dx9_26.dll
2007-09-04 00:41 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\WinRAR
2007-09-03 23:41 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-03 23:23 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Talkback
2007-09-03 22:58 2,560 --------- D:\WINDOWS1\system32\drivers\cdralw2k.sys
2007-09-03 22:58 2,432 --------- D:\WINDOWS1\system32\drivers\cdr4_xp.sys
2007-09-03 22:56 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Google
2007-09-03 22:45 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\uTorrent
2007-09-03 22:36 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\DivX
2007-09-03 22:20 4,682 --a------ D:\WINDOWS1\system32\npptNT2.sys
2007-09-03 22:17 <DIR> d-------- D:\WINDOWS1\system32\QuickTime
2007-09-03 22:17 <DIR> d-------- D:\WINDOWS1\system32\custom matrices
2007-09-03 22:17 <DIR> d-------- D:\WINDOWS1\system32\C2MP
2007-09-03 22:09 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Skype
2007-09-03 21:57 <DIR> d-------- D:\Programme\Windows Media Connect 2
2007-09-03 21:55 23,856 --a------ D:\WINDOWS1\system32\spupdsvc.exe
2007-09-03 21:55 <DIR> d-------- D:\WINDOWS1\system32\LogFiles
2007-09-03 21:55 <DIR> d-------- D:\WINDOWS1\system32\drivers\UMDF
2007-09-03 21:17 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Google
2007-09-03 20:14 765,952 --a------ D:\WINDOWS1\system\crlds3d.dll
2007-09-03 20:14 712,704 --a--c--- D:\WINDOWS1\system32\dllcache\a3d.dll
2007-09-03 20:14 712,704 --a------ D:\WINDOWS1\system32\a3d.dll
2007-09-03 20:13 306,688 --a------ D:\WINDOWS1\IsUninst.exe
2007-09-03 20:11 305,664 --a------ D:\WINDOWS1\IsUn0407.exe
2007-09-03 20:11 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\WINDOWS
2007-09-03 19:24 <DIR> d-------- D:\WINDOWS1\pss
2007-09-03 19:19 65,536 --------- D:\WINDOWS1\system32\SiSHook.dll
2007-09-03 19:19 36,992 -ra------ D:\WINDOWS1\system32\drivers\SISAGPX.SYS
2007-09-03 19:19 262,144 --a------ D:\WINDOWS1\system32\sistray.exe
2007-09-03 19:19 135,168 --------- D:\WINDOWS1\system32\SiSApCom.dll
2007-09-03 19:19 110,592 --------- D:\WINDOWS1\system32\TVMode.dll
2007-09-03 19:19 <DIR> d-------- D:\WINDOWS1\SiS
2007-09-03 19:03 6,400 --a------ D:\WINDOWS1\system32\drivers\splitter.sys
2007-09-03 19:03 54,272 --a------ D:\WINDOWS1\system32\drivers\swmidi.sys
2007-09-03 19:03 142,464 --a------ D:\WINDOWS1\system32\drivers\aec.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-10 02:38 --------- d-------- D:\Programme\eMule
2007-09-09 09:10 28400 --a------ D:\WINDOWS1\system32\drivers\secdrv.sys
2007-09-04 18:47 --------- d-------- D:\Programme\Google
2007-09-04 18:19 --------- d-------- D:\Programme\Strokes 3.0
2007-09-03 22:58 --------- d-------- D:\Programme\Picasa2
2007-09-03 19:19 --------- d-------- D:\Programme\sisagp
2007-09-03 19:19 --------- d-------- D:\Programme\SiS VGA Utilities V3.70
2007-08-24 17:23 --------- d--h----- D:\Programme\InstallShield Installation Information
2007-08-18 00:37 --------- d-------- D:\Programme\Gemeinsame Dateien\InstallShield
2007-08-09 02:38 --------- d-------- D:\Programme\Gemeinsame Dateien\Vbox
2007-08-07 10:02 227592 --a------ D:\WINDOWS1\system32\PDBoot.exe
2007-07-30 19:19 92504 --a------ D:\WINDOWS1\system32\cdm.dll
2007-07-30 19:19 549720 --a------ D:\WINDOWS1\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ D:\WINDOWS1\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ D:\WINDOWS1\system32\wups2.dll
2007-07-30 19:19 325976 --a------ D:\WINDOWS1\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ D:\WINDOWS1\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ D:\WINDOWS1\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ D:\WINDOWS1\system32\wups.dll
2007-06-26 08:08 1104896 --a------ D:\WINDOWS1\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ D:\WINDOWS1\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ D:\WINDOWS1\explorer.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCleaner"="D:\Programme\CCleaner\CCleaner.exe" [2007-07-13 11:10]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2005-02-26 08:09]
"ctfmon.exe"="D:\WINDOWS1\system32\ctfmon.exe" [2004-08-04 00:57]
"Regrun2"="D:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F552DDE6-2090-4bf4-B924-6141E87789A5}"= D:\Programme\Greatis\RegRunSuite\RRShell.dll [2004-11-02 10:15 368711]

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
D:\WINDOWS1\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
D:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

S3 RegGuard;RegGuard;\??\D:\WINDOWS1\system32\Drivers\regguard.sys
S3 SDTHOOK;SDTHOOK;D:\WINDOWS1\system32\DRIVERS\SDTHOOK.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-11 01:06:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

D:\WINDOWS1\system32\cmd.exe [3960] 0xFF6ACD08
D:\QooBox\Quarantine\D\WINDOWS1\system32\wintems.exe.virpen [3460] 0xFFB04AC0


scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mule_st_key"="D:\\Dokumente und Einstellungen\\Renate.RENATE-CB9B907F\\Anwendungsdaten\\m\\flec006.exe"
"german.exe"="D:\\WINDOWS1\\system32\\wintems.exe"

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa]
"ImagePath"="\??\D:\WINDOWS1\system32\drivers\srosa.sys"
.
Completion time: 2007-09-11 1:08:08
D:\ComboFix-quarantined-files.txt ... 2007-09-11 01:07
.
--- E O F ---

Code

2005-02-26 08:09      751224    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\drivers\hidr.exe.vir
2007-09-06 01:42      22    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\nvs2.inf.vir
2007-09-08 01:42      275425    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\cxbqfbxtje_nav.dat.vir
2007-09-08 16:19      645772    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\pack.epk.vir
2007-09-09 09:29      2710    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\cxbqfbxtje_navps.dat.vir
2007-09-09 09:29      7677    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\cxbqfbxtje.dat.vir
2007-09-11 00:59      110706    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\drivers\srosa.sys.vir
2007-09-11 01:03      56610    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\exefld\284178.exe.vir
2007-09-11 01:03      56610    --a------    D:\Qoobox\Quarantine\D\WINDOWS1\system32\wintems.exe.vir


Auflistung der Ordnerpfade f�r Volume Lokaler Datentr„ger 
Volumenummer: 7C03-DB4F
D:\QOOBOX\QUARANTINE
+---D
|   +---ComboFix
|   \---WINDOWS1
|       |   pack.epk.vir
|       |   
|       +---exefld
|       |       284178.exe.vir
|       |       
|       \---system32
|           |   cxbqfbxtje.dat.vir
|           |   cxbqfbxtje_nav.dat.vir
|           |   cxbqfbxtje_navps.dat.vir
|           |   nvs2.inf.vir
|           |   wintems.exe.vir
|           |   
|           \---drivers
|                   hidr.exe.vir
|                   srosa.sys.vir
|                   
\---Registry_backups

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:14:50, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS1\System32\smss.exe
D:\WINDOWS1\system32\winlogon.exe
D:\WINDOWS1\system32\services.exe
D:\WINDOWS1\system32\lsass.exe
D:\WINDOWS1\system32\svchost.exe
D:\WINDOWS1\system32\svchost.exe
D:\WINDOWS1\System32\svchost.exe
D:\WINDOWS1\system32\spoolsv.exe
D:\WINDOWS1\system32\ctfmon.exe
D:\Programme\Raxco\PerfectDisk\PDAgent.exe
D:\Programme\Raxco\PerfectDisk\PDEngine.exe
D:\WINDOWS1\explorer.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS1\system32\NOTEPAD.EXE
D:\WINDOWS1\system32\NOTEPAD.EXE
D:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [ccleaner] "D:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS1\system32\ctfmon.exe
O4 - HKCU\..\Run: [Regrun2] D:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - D:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS1\SYSTEM32\slserv.exe

--
End of file - 3661 bytes







Datentr„ger in Laufwerk D: ist Lokaler Datentr„ger
Volumeseriennummer: 7C03-DB4F

Verzeichnis von D:\WINDOWS1\system32

11.09.2007 01:03 1.653 ban_list.txt
11.09.2007 00:28 2.951 CONFIG.NT
11.09.2007 00:28 1.806 AUTOEXEC.NT
09.09.2007 04:08 314.508 perfh009.dat
09.09.2007 04:08 40.836 perfc009.dat
09.09.2007 04:08 320.104 perfh007.dat
09.09.2007 04:08 49.166 perfc007.dat
09.09.2007 04:08 724.842 PerfStringBackup.INI
07.09.2007 07:58 263.024 FNTCACHE.DAT
06.09.2007 04:42 2.228 wpa.dbl
06.09.2007 04:10 16.832 amcompat.tlb
06.09.2007 04:10 23.392 nscompat.tlb
06.09.2007 03:06 128.914 TZLog.log
04.09.2007 16:53 280 PDBootState
04.09.2007 02:09 15.360 BASSMOD.dll
03.09.2007 19:19 77.884 VGAunistlog.ini
03.09.2007 19:00 0 h323log.txt
03.09.2007 18:22 550 $winnt$.inf
03.09.2007 18:15 488 WindowsLogon.manifest
03.09.2007 18:15 488 logonui.exe.manifest
03.09.2007 18:15 749 sapi.cpl.manifest
03.09.2007 18:15 749 wuaucpl.cpl.manifest
03.09.2007 18:15 749 cdplayer.exe.manifest
03.09.2007 18:15 749 ncpa.cpl.manifest
03.09.2007 18:15 749 nwc.cpl.manifest
03.09.2007 18:11 21.740 emptyregdb.dat
07.08.2007 10:02 227.592 PDBoot.exe
02.08.2007 21:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
20.07.2007 00:57 267.112 xactengine2_9.dll
20.07.2007 00:54 18.280 x3daudio1_2.dll
19.07.2007 18:14 3.727.720 d3dx9_35.dll
19.07.2007 18:14 1.358.192 D3DCompiler_35.dll
19.07.2007 18:14 444.776 d3dx10_35.dll
18.07.2007 14:42 60.416 tzchange.exe

#4 Prüfe mal diese Datei(en) bei

D:\WINDOWS1\system32\drivers\powvvbqqvkpq.sys
D:\WINDOWS1\system32\drivers\mhannydndoin.sys
D:\WINDOWS1\system32\drivers\mobmpflefbya.sys
D:\WINDOWS1\system32\drivers\epvuehmknpdu.sys

VT
Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#5 Alle clean! Habe den 'VT' benutzt und alles durchlaufen lassen. (:


Kann mich erinnenern, dass vor ca. 2 oder 3 Tagen plötzlich einfach so (ich glaube ohne, dass ich im Internet war) ein Fenster des Internet-Explorers (den ich eigentlich kaum nutze) erschienen ist, dass mir sagte, das der rechner extrem langsam sei und das ich ihn wegen 'Malware' scannen sollte. Das war auf keinen Fall ein Microsoft-Programm. Ich hatte da nur mal auf 'Free-Scan' geklickt und dann kam gaub ich irgend ne blöde Werbung, aber keine Scan-Ergebnisse.
Vielleicht hilft es weiter, wenn ich sage das ich kurz vorher 'Microsoft-Office Enterprise 2007' installiert hatte.

- vielleicht bringt Euch/uns diese Info ja etwas?!

#6 Entferne auf C:\Qoobox-->Papierkorb leeren

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

File::
D:\WINDOWS1\system32\ban_list.txt
D:\WINDOWS1\system32\drivers\powvvbqqvkpq.sys
D:\WINDOWS1\system32\drivers\mhannydndoin.sys
D:\WINDOWS1\system32\drivers\mobmpflefbya.sys
D:\WINDOWS1\system32\drivers\epvuehmknpdu.sys
D:\\Dokumente und Einstellungen\\Renate.RENATE-CB9B907F\\Anwendungsdaten\\m\\flec006.exe

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix
Und ein log von Hijack This


__________
MfG Argus

#7 Schau nochmal bitte auf meinen Beitrag von 1:49 h. (:


Kann 'qoobox' nicht löschen!

winitems.exe.vir kann nicht gelöscht werden. (habe allerdings noch keinen Neustart versucht)

SOLL ICH EINEN NEUSTART MACHEN?

#8 Versuche erst mal CFScript
__________
MfG Argus

#9 Sorry, versteh nicht was Du mir damit sagen willst. (:

Ah, schon gut. (Ich Doofi (: ). Alles klar, mach ich.







Ja, geilomat!!! (Sorry wegen der Ausdrucksweise). Ich kann wieder Anti-Vir installieren! Und die Firewall ist auch sofort wieder aktiv!

Wäre sehr nett, wenn Du mir ganz kurz erklären könntest, was da gmacht wurde! (:

Schon mal ein FETTES DANKE!
_________________________________________________________

uiuijui - Das 'Flec006' befindet sich nun in der 'Ms-Config' bei den System-Starts...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:36:50, on 11.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS1\System32\smss.exe
D:\WINDOWS1\system32\winlogon.exe
D:\WINDOWS1\system32\services.exe
D:\WINDOWS1\system32\lsass.exe
D:\WINDOWS1\system32\svchost.exe
D:\WINDOWS1\system32\svchost.exe
D:\WINDOWS1\System32\svchost.exe
D:\WINDOWS1\Explorer.EXE
D:\WINDOWS1\system32\spoolsv.exe
D:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\WINDOWS1\system32\ctfmon.exe
D:\Programme\Raxco\PerfectDisk\PDAgent.exe
D:\WINDOWS1\system32\slserv.exe
D:\WINDOWS1\system32\wscntfy.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS1\system32\wuauclt.exe
D:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [ccleaner] "D:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [mule_st_key] D:\Dokumente und Einstellungen\Renate.RENATE-CB9B907F\Anwendungsdaten\m\flec006.exe
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [german.exe] D:\WINDOWS1\system32\wintems.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS1\system32\ctfmon.exe
O4 - HKCU\..\Run: [Regrun2] D:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS1\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - D:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS1\SYSTEM32\slserv.exe

--
End of file - 4469 bytes

#10 Wo ist das log von ComboFix?????
__________
MfG Argus

#11 Mist, das hatte ich vergessen. Weiß leider nicht, wo es ist...


(Falls Du es oben nicht gelesen hattest - 'Flec006' ist jetzt als System-Start-Eintrag zu finden.)

#12 Steht auf C:\combofix.txt

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKCU\..\Run: [mule_st_key] D:\Dokumente und Einstellungen\Renate.RENATE-CB9B907F\Anwendungsdaten\m\flec006.exe
O4 - HKCU\..\Run: [german.exe] D:\WINDOWS1\system32\wintems.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
__________
MfG Argus

#13 Sorry, im Ordner 'Combofix' is nichts zu finden...

#14 Entferne auf C:\Qoobox-->Papierkorb leeren

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

File::
D:\Dokumente und Einstellungen\Renate.RENATE-CB9B907F\Anwendungsdaten\m\flec006.exe
D:\WINDOWS1\system32\wintems.exe

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix (C:\combofix.txt)

__________
MfG Argus

#15 ComboFix 07-09-10.6 - "Renate" 2007-09-11 3:08:16.4 - NTFS x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.94 [GMT 2:00]
Command switches used :: D:\Dokumente und Einstellungen\Renate.RENATE-CB9B907F\Desktop\cfscript.txt
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((( Dateien erstellt von 2007-08-11 bis 2007-09-11 ))))))))))))))))))))))))))))))
.

2007-09-11 01:51 <DIR> d-------- D:\WINDOWS1\system32\Kaspersky Lab
2007-09-11 01:36 667 --a------ D:\WINDOWS1\mozver.dat
2007-09-11 01:14 <DIR> d-------- D:\Programme\Hijack This
2007-09-11 01:02 51,200 --a------ D:\WINDOWS1\NirCmd.exe
2007-09-11 00:28 (2) -rahs-ot- D:\WINDOWS1\winstart.bat
2007-09-11 00:14 25,773 --a------ D:\WINDOWS1\system32\drivers\regguard.sys
2007-09-11 00:12 <DIR> d-------- D:\Programme\Greatis
2007-09-10 22:55 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Help
2007-09-10 22:46 <DIR> d-------- D:\Programme\Security Task Manager
2007-09-10 22:46 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\SecTaskMan
2007-09-10 19:19 44,672 --a------ D:\WINDOWS1\system32\drivers\SDTHOOK.SYS
2007-09-10 08:08 <DIR> d---s---- D:\DOKUME~1\RENATE~1.REN\UserData
2007-09-10 06:27 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\makata
2007-09-10 00:12 <DIR> d-------- D:\Programme\Activision Value
2007-09-09 07:42 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Trymedia
2007-09-09 06:48 <DIR> d-------- D:\DOKUME~1\RENATE~1\LOKALE~1
2007-09-06 23:34 271,224 --a------ D:\WINDOWS1\system32\mucltui.dll
2007-09-06 23:34 207,736 --a------ D:\WINDOWS1\system32\muweb.dll
2007-09-06 23:27 32,592 --a------ D:\WINDOWS1\system32\msonpmon.dll
2007-09-06 23:22 <DIR> d-------- D:\Programme\MSBuild
2007-09-06 23:05 <DIR> d-------- D:\WINDOWS1\SHELLNEW
2007-09-06 23:04 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Microsoft Help
2007-09-06 23:02 <DIR> dr-h----- D:\MSOCache
2007-09-06 21:52 <DIR> d-------- D:\Programme\IsoBuster
2007-09-06 05:33 <DIR> d-------- D:\Programme\Yahtzee 123
2007-09-06 05:15 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\MSN6
2007-09-06 05:04 57,344 --a------ D:\WINDOWS1\system32\sol.exe
2007-09-06 05:04 55,808 --a------ D:\WINDOWS1\system32\freecell.exe
2007-09-06 05:04 128,000 --a------ D:\WINDOWS1\system32\mshearts.exe
2007-09-06 05:04 120,320 --a------ D:\WINDOWS1\system32\winmine.exe
2007-09-06 05:03 539,136 --a------ D:\WINDOWS1\system32\spider.exe
2007-09-06 03:08 23,040 -----c--- D:\WINDOWS1\system32\dllcache\fltmc.exe
2007-09-06 03:08 16,896 -----c--- D:\WINDOWS1\system32\dllcache\fltlib.dll
2007-09-06 03:08 128,896 -----c--- D:\WINDOWS1\system32\dllcache\fltmgr.sys
2007-09-05 03:06 <DIR> d--h----- D:\WINDOWS1\$hf_mig$
2007-09-04 19:32 139,776 --a--c--- D:\WINDOWS1\system32\dllcache\sndvol32.exe
2007-09-04 19:32 139,776 --a------ D:\WINDOWS1\system32\sndvol32.exe
2007-09-04 18:50 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Skype
2007-09-04 04:36 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Raxco
2007-09-04 04:36 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Raxco
2007-09-04 04:35 <DIR> d-------- D:\Programme\Raxco
2007-09-04 04:05 <DIR> d-------- D:\WINDOWS1\system32\NtmsData
2007-09-04 03:00 364,544 --------- D:\WINDOWS1\system32\TwnLib4.dll
2007-09-04 02:18 5,888 --------- D:\WINDOWS1\system32\drivers\imagedrv.sys
2007-09-04 02:18 127,488 --------- D:\WINDOWS1\system32\drivers\imagesrv.sys
2007-09-04 02:17 476,320 --------- D:\WINDOWS1\system32\ImagXpr7.dll
2007-09-04 02:17 471,040 --------- D:\WINDOWS1\system32\ImagXRA7.dll
2007-09-04 02:17 262,144 --------- D:\WINDOWS1\system32\ImagXR7.dll
2007-09-04 02:17 155,648 --a------ D:\WINDOWS1\system32\NeroCheck.exe
2007-09-04 02:17 106,496 --a------ D:\WINDOWS1\system32\TwnLib20.dll
2007-09-04 02:17 1,568,768 --------- D:\WINDOWS1\system32\ImagX7.dll
2007-09-04 02:17 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Ahead
2007-09-04 02:17 <DIR> d-------- D:\Programme\Ahead
2007-09-04 01:21 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\vlc
2007-09-04 01:18 <DIR> d-------- D:\Programme\VideoLAN
2007-09-04 00:52 444,776 --a------ D:\WINDOWS1\system32\d3dx10_35.dll
2007-09-04 00:52 443,752 --a------ D:\WINDOWS1\system32\d3dx10_34.dll
2007-09-04 00:52 3,727,720 --a------ D:\WINDOWS1\system32\d3dx9_35.dll
2007-09-04 00:52 3,497,832 --a------ D:\WINDOWS1\system32\d3dx9_34.dll
2007-09-04 00:52 267,112 --a------ D:\WINDOWS1\system32\xactengine2_9.dll
2007-09-04 00:52 266,088 --a------ D:\WINDOWS1\system32\xactengine2_8.dll
2007-09-04 00:52 18,280 --a------ D:\WINDOWS1\system32\x3daudio1_2.dll
2007-09-04 00:52 1,358,192 --a------ D:\WINDOWS1\system32\D3DCompiler_35.dll
2007-09-04 00:52 1,124,720 --a------ D:\WINDOWS1\system32\D3DCompiler_34.dll
2007-09-04 00:50 2,297,552 --a------ D:\WINDOWS1\system32\d3dx9_26.dll
2007-09-04 00:41 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\WinRAR
2007-09-03 23:41 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-03 23:23 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Talkback
2007-09-03 22:58 2,560 --------- D:\WINDOWS1\system32\drivers\cdralw2k.sys
2007-09-03 22:58 2,432 --------- D:\WINDOWS1\system32\drivers\cdr4_xp.sys
2007-09-03 22:56 <DIR> d-------- D:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Google
2007-09-03 22:45 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\uTorrent
2007-09-03 22:36 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\DivX
2007-09-03 22:20 4,682 --a------ D:\WINDOWS1\system32\npptNT2.sys
2007-09-03 22:17 <DIR> d-------- D:\WINDOWS1\system32\QuickTime
2007-09-03 22:17 <DIR> d-------- D:\WINDOWS1\system32\custom matrices
2007-09-03 22:17 <DIR> d-------- D:\WINDOWS1\system32\C2MP
2007-09-03 22:09 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Skype
2007-09-03 21:57 <DIR> d-------- D:\Programme\Windows Media Connect 2
2007-09-03 21:55 23,856 --a------ D:\WINDOWS1\system32\spupdsvc.exe
2007-09-03 21:55 <DIR> d-------- D:\WINDOWS1\system32\LogFiles
2007-09-03 21:55 <DIR> d-------- D:\WINDOWS1\system32\drivers\UMDF
2007-09-03 21:17 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\ANWEND~1\Google
2007-09-03 20:14 765,952 --a------ D:\WINDOWS1\system\crlds3d.dll
2007-09-03 20:14 712,704 --a--c--- D:\WINDOWS1\system32\dllcache\a3d.dll
2007-09-03 20:14 712,704 --a------ D:\WINDOWS1\system32\a3d.dll
2007-09-03 20:13 306,688 --a------ D:\WINDOWS1\IsUninst.exe
2007-09-03 20:11 305,664 --a------ D:\WINDOWS1\IsUn0407.exe
2007-09-03 20:11 <DIR> d-------- D:\DOKUME~1\RENATE~1.REN\WINDOWS
2007-09-03 19:24 <DIR> d-------- D:\WINDOWS1\pss
2007-09-03 19:19 65,536 --------- D:\WINDOWS1\system32\SiSHook.dll
2007-09-03 19:19 36,992 -ra------ D:\WINDOWS1\system32\drivers\SISAGPX.SYS
2007-09-03 19:19 262,144 --a------ D:\WINDOWS1\system32\sistray.exe
2007-09-03 19:19 135,168 --------- D:\WINDOWS1\system32\SiSApCom.dll
2007-09-03 19:19 110,592 --------- D:\WINDOWS1\system32\TVMode.dll
2007-09-03 19:19 <DIR> d-------- D:\WINDOWS1\SiS
2007-09-03 19:03 6,400 --a------ D:\WINDOWS1\system32\drivers\splitter.sys
2007-09-03 19:03 54,272 --a------ D:\WINDOWS1\system32\drivers\swmidi.sys
2007-09-03 19:03 142,464 --a------ D:\WINDOWS1\system32\drivers\aec.sys
2007-09-03 19:01 60,288 --a--c--- D:\WINDOWS1\system32\dllcache\drmk.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-10 02:38 --------- d-------- D:\Programme\eMule
2007-09-09 09:10 28400 --a------ D:\WINDOWS1\system32\drivers\secdrv.sys
2007-09-04 18:47 --------- d-------- D:\Programme\Google
2007-09-04 18:19 --------- d-------- D:\Programme\Strokes 3.0
2007-09-03 22:58 --------- d-------- D:\Programme\Picasa2
2007-09-03 19:19 --------- d-------- D:\Programme\sisagp
2007-09-03 19:19 --------- d-------- D:\Programme\SiS VGA Utilities V3.70
2007-08-24 17:23 --------- d--h----- D:\Programme\InstallShield Installation Information
2007-08-18 00:37 --------- d-------- D:\Programme\Gemeinsame Dateien\InstallShield
2007-08-09 02:38 --------- d-------- D:\Programme\Gemeinsame Dateien\Vbox
2007-08-07 10:02 227592 --a------ D:\WINDOWS1\system32\PDBoot.exe
2007-07-30 19:19 92504 --a------ D:\WINDOWS1\system32\cdm.dll
2007-07-30 19:19 549720 --a------ D:\WINDOWS1\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ D:\WINDOWS1\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ D:\WINDOWS1\system32\wups2.dll
2007-07-30 19:19 325976 --a------ D:\WINDOWS1\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ D:\WINDOWS1\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ D:\WINDOWS1\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ D:\WINDOWS1\system32\wups.dll
2007-06-26 08:08 1104896 --a------ D:\WINDOWS1\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ D:\WINDOWS1\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ D:\WINDOWS1\explorer.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"avgnt"="D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-11 03:01]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCleaner"="D:\Programme\CCleaner\CCleaner.exe" [2007-07-13 11:10]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2005-02-26 08:09]
"ctfmon.exe"="D:\WINDOWS1\system32\ctfmon.exe" [2004-08-04 00:57]
"Regrun2"="D:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe" []
"c4Setup.exe"="D:\DOKUME~1\RENATE~1.REN\Desktop\C4SETU~1.exe" [2007-09-11 02:56]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F552DDE6-2090-4bf4-B924-6141E87789A5}"= D:\Programme\Greatis\RegRunSuite\RRShell.dll [2004-11-02 10:15 368711]

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
D:\WINDOWS1\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
D:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

S3 RegGuard;RegGuard;\??\D:\WINDOWS1\system32\Drivers\regguard.sys
S3 SDTHOOK;SDTHOOK;D:\WINDOWS1\system32\DRIVERS\SDTHOOK.sys

*Newly Created Service* - SSMDRV
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-11 03:14:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-11 3:18:21 - machine was rebooted
D:\ComboFix-quarantined-files.txt ... 2007-09-11 03:18
D:\ComboFix2.txt ... 2007-09-11 02:27
D:\ComboFix3.txt ... 2007-09-11 01:08
.
--- E O F ---