WIN32 Warezov Wurm

#1 Hallo,

ich bin fast am verzweifeln und komme absolut nicht weiter. Ich hoffe mir kann hier jemand weiterhelfen.

Muß einen Laptop reparieren, der sich über ICQ einen Virus eingefangen hat. Habe mir bereits einige Threads durchgeldesen, aber wie gesagt, komme absolut nicht weiter.
Habe euch die Dateien von datFind angehängt. Ich hoffe ihr könnt damit was anfangen.

P.S.: Habe auch schon ein CleanUp durchgeführt

Vielen Dank für Eure Hilfe

VG

MB123

Verzeichnis von C:\WINDOWS\system32

24.11.2007 00:44 1.158 wpa.dbl
24.11.2007 00:44 76.956 lsass.log
24.11.2007 00:30 9.728 e1.dll
22.11.2007 20:51 20.480 msapmsor.exe
22.11.2007 20:51 55.334 picnsche.exe
15.11.2007 17:50 383.588 perfh009.dat
15.11.2007 17:50 53.942 perfc009.dat
15.11.2007 17:50 395.074 perfh007.dat
15.11.2007 17:50 64.994 perfc007.dat
15.11.2007 17:50 906.376 PerfStringBackup.INI
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
18.09.2007 19:46 3.002 CONFIG.NT
06.09.2007 11:09 801.144 aswBoot.exe
06.09.2007 11:00 95.608 AvastSS.scr
30.08.2007 02:01 249.852 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 124.928 advpack.dll

Verzeichnis von C:\DOKUME~1\Soph\LOKALE~1\Temp

24.11.2007 00:54 824 jusched.log
24.11.2007 00:44 49.152 ~DF7B21.tmp
24.11.2007 00:30 49.152 ~DFC107.tmp
24.11.2007 00:26 49.152 ~DF45A0.tmp
24.11.2007 00:07 797.676 IMTD.xml
24.11.2007 00:07 426 IMTC.xml
24.11.2007 00:07 2.036 IMTB.xml
24.11.2007 00:05 49.152 ~DF82BC.tmp
23.11.2007 22:57 49.152 ~DF13CD.tmp
9 Datei(en) 1.046.722 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei

Verzeichnis von C:\WINDOWS

24.11.2007 00:44 0 0.log
24.11.2007 00:44 2.048 bootstat.dat
24.11.2007 00:43 32.530 SchedLgU.Txt
24.11.2007 00:43 1.608.793 WindowsUpdate.log
24.11.2007 00:20 311.553 setupapi.log
23.11.2007 23:27 150.586 ntbtlog.txt
21.11.2007 17:31 95 winamp.ini
14.11.2007 14:51 133.081 iis6.log
14.11.2007 14:51 292.248 comsetup.log
14.11.2007 14:51 330.848 tsoc.log
14.11.2007 14:51 176.856 ntdtcsetup.log
14.11.2007 14:51 1.393 imsins.log
14.11.2007 14:51 7.424 KB943460.log
14.11.2007 14:51 47.256 ocmsn.log
14.11.2007 14:51 416.804 ocgen.log
14.11.2007 14:51 42.845 msgsocm.log
14.11.2007 14:51 844.936 FaxSetup.log
14.11.2007 14:51 98.156 updspapi.log
03.11.2007 20:14 2.554 OEWABLog.txt
03.11.2007 20:14 54.508 wmsetup.log
16.10.2007 20:14 50 wiaservc.log
16.10.2007 20:14 216 wiadebug.log
10.10.2007 21:08 12.114 KB933729.log
10.10.2007 21:08 1.393 imsins.BAK
10.10.2007 21:07 22.679 KB939653-IE7.log
10.10.2007 21:07 10.595 KB941202.log
30.08.2007 02:01 21.992 KB933360.log
15.08.2007 17:13 7.610 spupdsvc.log
15.08.2007 14:47 573 win.ini
15.08.2007 14:46 17.857 KB936021.log
15.08.2007 14:46 17.040 KB938828.log
15.08.2007 14:45 17.188 KB921503.log
15.08.2007 14:45 16.985 KB938829.log
15.08.2007 14:44 22.228 KB937143-IE7.log
15.08.2007 14:44 11.926 KB938127-IE7.log
15.08.2007 14:43 289.992 msxml4-KB936181-enu.LOG
15.08.2007 14:43 9.386 KB936782.log
15.08.2007 13:21 5.856 cddabase.ini

Verzeichnis von C:\WINDOWS\Temp

24.11.2007 00:44 409 WGANotify.settings
24.11.2007 00:44 255 WGAErrLog.txt
24.11.2007 00:44 16.384 Perflib_Perfdata_5ec.dat
23.11.2007 19:27 16.384 Perflib_Perfdata_6cc.dat
21.10.2007 14:05 16.384 Perflib_Perfdata_6d0.dat
15.10.2007 14:06 16.384 Perflib_Perfdata_6ec.dat
17.09.2007 16:58 16.384 Perflib_Perfdata_688.dat
20.07.2007 20:50 664 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini
11.07.2007 13:54 11.458 NetFxUpdate_v1.1.4322.log
11.07.2007 13:54 14.886 netfxsl.log
18.06.2007 15:24 16.384 Perflib_Perfdata_6e4.dat
09.04.2007 20:38 0 nsfAE.tmp
09.04.2007 20:38 0 nspAD.tmp
03.02.2007 23:04 5.851 plf86.tmp
01.03.2002 16:08 2.069 navLoad.ini
12.09.2001 14:42 212.992 NavBrowser.exe
10.10.2000 12:48 65.536 IEHost.exe
17 Datei(en) 412.424 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 16:44 367 LegitCheckControl.inf
09.11.2006 14:36 5.019 swflash.inf
26.05.2005 04:19 291 wuweb.inf
07.08.2004 06:12 65 desktop.ini
27.07.2004 15:48 323.584 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
7 Datei(en) 550.510 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei

Verzeichnis von C:\

24.11.2007 01:18 0 sys.txt
24.11.2007 01:17 600 down.txt
24.11.2007 01:17 1.188 tmp.txt
24.11.2007 01:17 12.045 system.txt
24.11.2007 01:16 674 systemtemp.txt
24.11.2007 01:15 103.217 system32.txt
24.11.2007 00:44 527.880.192 hiberfil.sys
24.11.2007 00:44 792.723.456 pagefile.sys
24.11.2007 00:29 321.370 avenger.txt
21.11.2007 22:20 268 sqmdata13.sqm
21.11.2007 22:20 244 sqmnoopt13.sqm
14.11.2007 14:47 232 sqmdata12.sqm
14.11.2007 14:47 244 sqmnoopt12.sqm
06.11.2007 18:45 232 sqmdata11.sqm
06.11.2007 18:45 244 sqmnoopt11.sqm
06.11.2007 18:43 232 sqmdata10.sqm
06.11.2007 18:43 244 sqmnoopt10.sqm
06.11.2007 18:42 232 sqmdata09.sqm
06.11.2007 18:42 244 sqmnoopt09.sqm
29.10.2007 20:41 244 sqmnoopt08.sqm
29.10.2007 20:41 268 sqmdata08.sqm
24.10.2007 18:00 244 sqmnoopt07.sqm
24.10.2007 18:00 232 sqmdata07.sqm
22.10.2007 20:10 232 sqmdata06.sqm
22.10.2007 20:10 244 sqmnoopt06.sqm
14.09.2007 22:34 232 sqmdata05.sqm
14.09.2007 22:34 244 sqmnoopt05.sqm
14.09.2007 22:16 232 sqmdata04.sqm
14.09.2007 22:16 244 sqmnoopt04.sqm
24.08.2007 13:52 232 sqmdata03.sqm
24.08.2007 13:52 244 sqmnoopt03.sqm
23.08.2007 14:39 232 sqmdata02.sqm
23.08.2007 14:39 244 sqmnoopt02.sqm
19.08.2007 12:46 232 sqmdata01.sqm
19.08.2007 12:46 244 sqmnoopt01.sqm
20.07.2007 20:21 268 sqmdata00.sqm
20.07.2007 20:21 244 sqmnoopt00.sqm
11.03.2007 15:36 0 conmgr.log
03.02.2007 23:01 0 MSDOS.SYS
03.02.2007 23:01 0 IO.SYS
02.02.2007 19:18 211 boot.ini
04.08.2004 09:00 4.952 bootfont.bin
04.08.2004 09:00 251.184 NTLDR
04.08.2004 09:00 47.564 NTDETECT.COM
44 Datei(en) 1.321.353.425 Bytes
0 Verzeichnis(se), 55.950.589.952 Bytes frei

#2 hi, der wurm kann rootkitfunktionen haben, dass schnellste und sicherste ist immer formatieren dann mit einem ordentlichen sicherheitskonzept neu zu bespielen. wenn du das nciht möchtest, mache folgendes.
1. lad hijackthis:
www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html - 59k -
das programm muss unbedingt in einen eigenen ordner! sonst können keine backups angelegt werden.
1.1 ordneransichten einstellen:
öffne arbeitsplatz,extras,ordneroptionen,ansicht dort einstellen dateienamenerweiterungen bei bekannten dateitypen ausblenden off
inhalte von systemordnern einblenden on geschützte systemdateien ausblenden off
und versteckte dateien und ordner anzeigen on
bitte benenne nur die hijackthis.exe in hjt.com um da sich malware verstecken kann nun öffnen scan and safe log klicken und dieses posten!
2. lad combofix:
http://virus-protect.org/artikel/tools/combofix.html
poste log.
3. führe bitte all diese rootkitscans durch und beachte:
du musst alle programme abschalten, die im hintergrund laufen also antivirus firewall chats internet etc
weiterhin muss die verbindung zum internet getrennt sein also wlan ausschalten und oder netzwerkkabel ziehen. poste alle ergebnisse.
http://www.hijackthis-forum.de/showthread.php?t=20219

#3 Hi virenfinder,

vielen Dank für deine schnelle Hilfe. Anbei habe ich die Log-Files beider Programme:

hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:26, on 24.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167776034468
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: e1.dll olearasr.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

--
End of file - 7263 bytes

Combofix:

ComboFix 07-11-19.3 - Soph 2007-11-24 14:12:50.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.262 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Soph\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt
C:\WINDOWS\system32\e1.dll
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-24 bis 2007-11-24 ))))))))))))))))))))))))))))))
.

2007-11-24 14:08 <DIR> d-------- C:\Programme\Trend Micro
2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-23 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-23 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-23 23:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-23 23:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-23 23:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView
2007-11-23 23:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-22 20:51 55,334 --a------ C:\WINDOWS\system32\picnsche.exe
2007-11-22 20:51 20,480 --a------ C:\WINDOWS\system32\msapmsor.exe
2007-11-13 15:19 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe
2007-11-13 15:19 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe
2007-11-13 15:19 2,560 --a------ C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-11-13 15:19 2,432 --a------ C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-11-13 15:17 <DIR> d-------- C:\Programme\Sony

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-23 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-11-23 18:22 --------- d-----w C:\Programme\Spamihilator
2007-11-23 13:21 --------- d-----w C:\Programme\ICQToolbar
2007-11-21 11:14 --------- d-----w C:\Programme\Gemeinsame Dateien\matf_update
2007-11-13 14:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-26 18:01 --------- d-----w C:\Programme\PartyGaming
2007-09-25 13:57 --------- d-----w C:\Dokumente und Einstellungen\Soph\Anwendungsdaten\ICQ Toolbar
2007-02-03 10:21 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 09:00]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 19:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= e1.dll olearasr.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= scecli AsWlnPkg

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk
backup=C:\WINDOWS\pss\DVD Check.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package Menu.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Picture Package Menu.lnk
backup=C:\WINDOWS\pss\Picture Package Menu.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package VCD Maker.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Picture Package VCD Maker.lnk
backup=C:\WINDOWS\pss\Picture Package VCD Maker.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 02:06 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
2007-09-06 11:06 79224 --a------ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CognizanceTS]
rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
2006-02-22 07:03 40960 --a------ C:\Programme\HPQ\Default Settings\cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 09:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
2005-08-31 04:20 122940 --a------ C:\WINDOWS\System32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C62 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 EPSON Stylus C62 Series /O6 USB001 /M Stylus C62

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-02-16 22:11 49152 --a------ C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
2006-02-14 09:49 454656 --a------ C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
2006-03-23 13:13 77824 --a------ C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
2006-03-23 13:17 118784 --a------ C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
2006-03-23 13:17 94208 --a------ C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\picnsche]
2007-11-22 20:51 55334 --a------ C:\windows\system32\picnsche.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR]
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
2005-12-20 14:51 1187840 --a------ C:\WINDOWS\Sminst\Recguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
2006-01-23 15:11 802816 --a------ C:\WINDOWS\Creator\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Scheduler]
2006-02-15 14:43 892928 --a------ C:\WINDOWS\SMINST\Scheduler.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2005-05-20 09:11 925696 --a------ C:\Programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator]
2007-01-24 14:49 619008 --a------ C:\Programme\Spamihilator\spamihilator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 12:03 36975 --a------ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-04-12 16:08 68856 --a------ C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-11-10 19:04 761945 --a------ C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
2005-11-08 11:59 184320 --a------ C:\Programme\InterVideo\DVD Check\DVDCheck.exe

R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance ASChannel

.
Inhalt des "geplante Tasks" Ordners
"2007-11-23 23:29:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-24 14:15:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-24 14:16:15 - machine was rebooted
.
--- E O F ---

Grüsse

MB123

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\picnsche.exe
C:\WINDOWS\system32\msapmsor.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#5 Habe beide Dateien analysiert, ist beides der Wurm.

Kann ich diese nun einfach löschen??

Oder muß ich einspezielles Programm ausführen?

Vielen Dank

Gruß

MB123

#6 OTMoveIt.exe
Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\system32\picnsche.exe
C:\WINDOWS\system32\msapmsor.exe

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Onlinescanner
NOD32
F-Secure mit Rootkitscanner
Bitdefender
Housecall
CA Antivirus


Java
Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe
__________
MfG Argus

#7 Hier die Log-Files

File/Folder C:\Windows\system32\pinsche.exe not found.
C:\Windows\system32\msapmsor.exe moved successfully.

Created on 11.25.2007 01:37:47

C:\Windows\System32\picnsche.exe moved successfully.

Created on 11.25.2007 01:39:48

Habe mich beim erste mal nur verschrieben.

Gruß

#8 Entferne auf C:\ _OTMoveIt\ -->Papierkorb leeren

Du kannst noch ein scan machen mit CureIt!
DrWeb CureIt!
Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus

#9 kannst du bitte noch die rootkitscans machen... wie gesagt ist nur sicherheitshalber...

#10 Ich habe nun mit Dr.Web nochmal alles abgescannt. Es wurden noch 8 infizierte Dateien gefunden und gelöscht.

Bei den Rootkitscanns wurden ebenfalls noch Einträge gefunden und gelöscht.

Habe dann nochmal beide laufen lassen, keine Dateien meht gefunden.

Ein Problem habe ich allerdings noch, ich kann die Windows-Sicherheitsupdates nicht starten.
Weiß einer vielleicht, warum??

#11 Kommt da eine Warnmeldung?
__________
MfG Argus

#12 Ja, beim Starten von Windows kommt, die Meldung

Der Computer ist evtl. gefährdet.
Automatische Updates sind deaktiviert.

Wenn ich automatische Updates einstellen möchte, kommt die Meldung:

Das Sicherheitscenter konnte die Einstellungen für automatische Updates nicht ändern. Ändern Sie diese manuell, indem Sie die Systemsteuerung "Automatische Updates" öffnen. Wählen Sie darin die Option "Automatisch" aus und klicken Sie auf "OK".

Die Einstellungen wären eigentlich drin, aber funktioniert nicht.

Wenn ich die Updates direkt über MS beziehen möchte, bekomme ich ebenfalls eine Fehlermeldung

#13 Start>Ausführen>> Kopiere rein services.msc ok
Und schau mal nach ob automatische Updates auf Automatisch stet
__________
MfG Argus

#14 Automtische Updates kann ich nicht finden.

Kann es evtl. der Windows-Installer sein? Der steht auf Manuell.


Habe auf einem anderen Rechner den Dienst "Automatische Updates" gefunden.
Aber auf dem Laptop (Läuft auf WinXP Home) gibt es diesen Dienst scheinbar nicht oder Nicht mehr!

#15 Problem mit "Automatische Updates"wurde mit Dial-a-fix behoben
http://dial-a-fix.softonic.de/
__________
MfG Argus