Unbekannte Malware.. Bitte Euch um Hilfe, HijackThis-Log und Fileliste vorhanden

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.09.2007, 17:37
...neu hier

Beiträge: 2
#1 Ich hoffe sehr, Ihr könnt mir helfen.
Seit mehreren Tagen (+Nächten) suche ich verzweifelt nach einer Lösung, doch kriege ich die verflixten Malware einfach nicht aus dem System raus.
Am Ende dieses Beitrags habe ich kurz meine History aufgeführt, in der Hoffnung es hilft bei der Suche.
Schon mal vielen Dank im voraus für Eure Mühe.

Hier meine Log-Files und weitere Infos:
-------------------------------------

NR.1 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:27, on 13.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Installiert\Check\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [kis] "C:\Programme\KAV6\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\KAV6\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{9406AF92-ADE9-43BC-A93D-CF771B6C83B1}: NameServer = 193.135.146.10,157.161.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ns.centralnet.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ns.centralnet.ch
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ns.centralnet.ch
O20 - AppInit_DLLs: C:\PROGRA~1\KAV6\adialhk.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\KAV6\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Installiert\SPTE\sp_rsser.exe

--
End of file - 2712 bytes
********************************************************
NR.2 Logfile of HijackThis v1.99.1
Scan saved at 16:20:43, on 13.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KAV6\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Installiert\SPTE\sp_rsser.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programme\KAV6\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\CHECK\CHECK.COM

O4 - HKLM\..\Run: [kis] "C:\Programme\KAV6\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\KAV6\\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\KAV6\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{9406AF92-ADE9-43BC-A93D-CF771B6C83B1}: NameServer = 193.135.146.10,157.161.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ns.centralnet.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ns.centralnet.ch
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ns.centralnet.ch
O20 - AppInit_DLLs: C:\PROGRA~1\KAV6\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\KAV6\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

Die Filelist findet Ihr im Anhang
***********************

Meine PC-History
-----------------
-Vorher W98 und WinXP im Parallellbetrieb, gut abgesichert
AVG, Sygate, ZoneAlarm, The Cleaner, Spybot, Spyware Terminator
-Vor einigen Tagen der Absturz, kein Booten ab HDD mehr möglich
-Diverse Rettungsversuche erfolglos, neu Aufsetzen des Systems
-Zuerst Win98 ab Backup-CDs (PartitionImage) inkl. neue Partionen
-Erneutes Abstürzen des Systems wiederum Booksekt. unlesbar
-Reset des Routers (Zyxel), Update des Bios (Award), Partitionieren
mit Ranish (Meldung last 2 bytes of rootsector = 00 00 statt 55 AA) .
-Partitionieren mit XFDisk erfolgreich
Erneutes Neuaufsetzen des W98-Systems, erfolgreich für ca. 2 Stunden..
Symptome:
a) Im recycler/d erschienen viele DC*-Dateien (DC0.DLL, DC1.CHM,
DC12.VXD,DC09.XML usw.), welche nach Löschung erneut erschienen.

b) Beim Zugriff auf das System mittels Actice@Boot-Disk-CD (Basis Vista
mit Linux-Tools) erschienen im Recycler/d ebenfalls neue Dateien, z.B.
S-1-5-18-.... welche sich immer wieder duplizierten nach Löschung.

c) Norton WinDoctor fand ungültige Einträge welche merkwürdig sind:
2x wurde Msiexec.exe erwähnt (1x msiexec.exe und 1x MsiExec.exe)
sowie ein Hinweise auf eine Datei namens 'Phrrr Sephiroth'

d) Das W98-System hängte sich jeweils bei unterschiedlichen Tätigkeiten
auf, Einfrieren und kurz danach selbständiger Reboot, Bootsekt. nicht lesbar.

e) NortonScanDisk meldete falsche Grössen im freien Speicherplatz/zuordnung

-Erneutes Neuaufsetzen, diesmal XP-System, 1 Tag erfolgreich bis heute,
Einfrieren und kurz danach selbständiger Reboot, Bootsekt. nicht lesbar.
-Fixboot/Fixmbr erfolgreich, System startet wieder

Habe Systemwiederherstellungspunkte gesetzt.
-Hijacklogfile-1 dasjenige kurz nach dem Absturzzeitpunkt (abges.Modus)
leider ohne Filelist
-Hijacklogfile-2 dasjenige nach Systemwiederherstellung (z.Zt. läuft's..)
mit Filelist
Hoffe sehr, Ihr könnt mir helfen.
Vorab vielen Dank
piwi

Anhang: filelist.txt
Dieser Beitrag wurde am 14.09.2007 um 14:07 Uhr von piwi editiert.
Seitenanfang Seitenende