Möglicher Malware-Befall

#0
25.12.2007, 21:26
...neu hier

Beiträge: 9
#1 Hallo,

ich hab seit letzter Woche ein Problem mit möglichem Malware-Befall. Mein Bruder hat eine wohl gehackte Internetseite aufgerufen,
wurde umgeleitet und auf einmal meldete die Firewall einen Eindringsversuch und danach hatte ich eine Tempbroit.exe auf meinem
Rechner. Hab danach gegoogelt und gelesen das Regrun das Teil wohl problemlos entfernt, hat es dann auch, aber leider hat es noch etwas
gefunden: screenshot1Das Programm kann es aber nicht löschen, da die Datei anscheinend schon gelöscht ist oder aber von einem Rootkit
versteckt wird. Die angegebenen Einträge gibt es bei mir nicht auf dem Rechner. Aber irgendwo her muss Regrun diesen Eintrag ja herhaben.
Ich hab nur einnen unbenannten vxd-driver als Bezug screenshot2 , krieg aber keine näheren Angaben. Entfernen läßt sich dieser Treiber
auch nicht. (Unbekannter Fehler), ich hab jetzt so ziemlich alle online-scanner drüberlaufen lassen, aber nichts gefunden.
Der Rechner läuft eigentlich normal, bis auf das merkwürdigerweise die Internetexplorersicherheitsbestimmungen auf minimal heruntergestellt
wurden. Das klingt vielleicht jetzt ein bischen Paranoid, aber irgendwas stimmt da nicht. Ich hoffe mir kann da jemand weiterhelfen.
Seitenanfang Seitenende
25.12.2007, 21:36
Member

Beiträge: 3716
#2 1. stell deine ordneroptionen wie folgt ein:
arbeitsplatz öffnen,extras,ordneroptionen,ansicht
- dateinamenerweiterungen bei bekannten dateitypen ausblenden off
- inhalte von systemordnern einblenden on
- geschützte systemdateien ausblenden off
- versteckte dateien und ordner alle einblenden on
2. lad eine neue version von hijackthis instaliere sie und benenne die hijackthis.exe in hjt.com um, da sich malware vor der hijackthis.exe verstecken kann!
www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html -

58k -
Erstelle und poste ein neues log!
3. lad combofix führe es nach anleitung aus schalte während des scans bitte antivir aus:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
bitte werend der reinigung mit combofix den guard sowie alle weiteren programme abschalten!
4. lad filelist.zip entpacke auf dem desktop
starte deinen pc neu klicke dann auf filelist.bat und poste von jedem verzeichniss die jeweils letzten 30 tage.
http://members.linzag.net/680262/filelist.zip
bitte alles als text keine screenshots!!
Seitenanfang Seitenende
25.12.2007, 22:35
...neu hier

Themenstarter

Beiträge: 9
#3 hier die logs!

hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44:21, on 25.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\WINDOWS\System32\cisvc.exe
F:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
F:\Programme\Mamutu\a2service.exe
F:\WINDOWS\system32\oodag.exe
F:\Programme\OO Software\CleverCache\ooccag.exe
F:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\wdfmgr.exe
F:\WINDOWS\explorer.exe
F:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
F:\Programme\OO Software\CleverCache\ooccctrl.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\PROGRAMME\MAMUTU\mamutu.exe
F:\Programme\PeerGuardian2\pg2.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\iPod\bin\iPodService.exe
F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
F:\Programme\Grisoft\AVG7\avgcc.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Trend Micro\HijackThis\hjt.exe
F:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: Shell=F:\WINDOWS\explorer.exe
O4 - HKLM\..\Run: [ooccctrl.exe] F:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Mamutu Guard] "F:\PROGRAMME\MAMUTU\mamutu.exe" /silent
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [PeerGuardian] F:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [CCleaner] "F:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] F:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: f:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{86B95B83-346E-43AC-9EC7-26FF13A24ACC}: NameServer = 217.237.151.205 217.237.148.70
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - F:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - F:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - F:\Programme\Mamutu\a2service.exe
O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - F:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - F:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - F:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5739 bytes


Combofix:
ComboFix 07-12-21.4 - ace 2007-12-25 21:48:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.576 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\ace\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\hosts
F:\WINDOWS\regedit.com
F:\WINDOWS\system32\drivers\npf.sys
F:\WINDOWS\system32\packet.dll
F:\WINDOWS\system32\taskmgr.com
F:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2007-11-25 bis 2007-12-25 ))))))))))))))))))))))))))))))
.

2007-12-25 21:43 . 2007-12-25 21:43 <DIR> d-------- F:\Programme\Trend Micro
2007-12-25 14:45 . 2007-12-25 14:45 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-12-25 14:45 . 2007-12-25 14:48 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\AVG7
2007-12-25 14:44 . 2007-12-25 16:48 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2007-12-25 14:05 . 2007-12-25 14:05 <DIR> d-------- F:\Programme\MultiMon
2007-12-25 13:55 . 2007-12-25 13:55 <DIR> d-------- F:\Programme\ObjMon
2007-12-25 09:24 . 2007-12-25 09:24 <DIR> d-------- F:\sav
2007-12-24 23:30 . 2007-12-24 23:30 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\logs
2007-12-24 22:56 . 2007-12-25 13:19 <DIR> d-------- F:\Programme\Sophos
2007-12-24 22:15 . 2007-12-25 13:40 <DIR> d-------- F:\Programme\NoAdware5.0
2007-12-24 22:02 . 2007-12-24 22:02 256 --a------ F:\WINDOWS\adaway.lic
2007-12-24 19:28 . 2007-12-24 19:28 31,138 --a------ F:\WINDOWS\system32\DRIVERS\Partizan.sys
2007-12-24 19:28 . 2007-12-24 19:28 25,600 --a------ F:\WINDOWS\system32\Partizan.exe
2007-12-24 19:27 . F:\WINDOWS\(2) F:\ComboFix\winstart.bat
2007-12-24 19:23 . 2007-12-24 19:26 <DIR> d-------- F:\Programme\eScan
2007-12-24 19:23 . 2006-07-31 03:52 339,968 --a------ F:\WINDOWS\system32\mwtsp.dll
2007-12-24 13:27 . 2007-12-24 13:39 <DIR> d-------- F:\Dokumente und Einstellungen\ace\DoctorWeb
2007-12-24 13:25 . 2007-12-25 10:11 501 --a------ F:\WINDOWS\system32\DRIVERS\fwdrv.err
2007-12-24 12:03 . 2007-12-24 12:03 <DIR> d-------- F:\Programme\ClearProg
2007-12-24 11:21 . 2007-12-24 11:21 <DIR> d-------- F:\Programme\CCleaner
2007-12-23 22:10 . 2007-12-23 23:14 349 --a------ F:\WINDOWS\gmer.ini
2007-12-23 12:10 . 2007-12-23 12:10 <DIR> d-------- F:\WINDOWS\system32\Kaspersky Lab
2007-12-23 12:10 . 2007-12-23 12:10 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-23 00:33 . 2007-12-23 10:45 <DIR> d-------- F:\WINDOWS\system32\ActiveScan
2007-12-23 00:33 . 2007-12-23 00:36 30,590 --a------ F:\WINDOWS\system32\pavas.ico
2007-12-23 00:12 . 2007-07-09 14:16 582,656 -----c--- F:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-23 00:11 . 2007-09-27 17:11 297,984 -----c--- F:\WINDOWS\system32\dllcache\msctf.dll
2007-12-23 00:00 . 2007-06-13 14:10 1,036,288 -----c--- F:\WINDOWS\system32\dllcache\explorer.exe
2007-12-23 00:00 . 2007-03-08 16:36 579,072 -----c--- F:\WINDOWS\system32\dllcache\user32.dll
2007-12-23 00:00 . 2007-04-10 11:08 60,032 -----c--- F:\WINDOWS\system32\dllcache\usbaudio.sys
2007-12-23 00:00 . 2007-03-08 16:36 40,960 -----c--- F:\WINDOWS\system32\dllcache\mf3216.dll
2007-12-22 23:59 . 2007-06-19 14:31 282,112 -----c--- F:\WINDOWS\system32\dllcache\gdi32.dll
2007-12-22 23:58 . 2007-05-17 12:28 549,376 -----c--- F:\WINDOWS\system32\dllcache\oleaut32.dll
2007-12-22 23:55 . 2007-12-22 23:55 <DIR> d-------- F:\Programme\Microsoft CAPICOM 2.1.0.2
2007-12-22 23:54 . 2007-04-11 07:44 1,843,712 -----c--- F:\WINDOWS\system32\dllcache\win32k.sys
2007-12-22 23:54 . 2007-02-09 12:10 574,464 -----c--- F:\WINDOWS\system32\dllcache\ntfs.sys
2007-12-22 23:53 . 2007-12-22 23:53 <DIR> d-------- F:\Programme\MSXML 6.0
2007-12-22 23:53 . 2007-02-19 11:32 343,040 -----c--- F:\WINDOWS\system32\dllcache\msvcrt.dll
2007-12-22 23:53 . 2007-03-17 14:44 293,376 -----c--- F:\WINDOWS\system32\dllcache\winsrv.dll
2007-12-22 23:53 . 2007-02-05 21:18 185,856 -----c--- F:\WINDOWS\system32\dllcache\upnphost.dll
2007-12-22 23:51 . 2007-12-22 23:51 <DIR> d-------- F:\WINDOWS\system32\de-de
2007-12-22 23:51 . 2006-12-14 14:45 981,760 -----c--- F:\WINDOWS\system32\dllcache\mfc42u.dll
2007-12-22 23:51 . 2006-11-27 15:54 539,136 -----c--- F:\WINDOWS\system32\dllcache\msftedit.dll
2007-12-22 23:51 . 2006-11-27 15:54 433,152 -----c--- F:\WINDOWS\system32\dllcache\riched20.dll
2007-12-22 23:50 . 2007-02-28 17:06 2,140,160 -----c--- F:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2007-12-22 23:50 . 2007-02-28 17:06 2,019,840 -----c--- F:\WINDOWS\system32\dllcache\ntkrpamp.exe
2007-12-22 23:50 . 2007-06-26 14:55 851,968 -----c--- F:\WINDOWS\system32\dllcache\vgx.dll
2007-12-22 23:50 . 2006-12-11 14:45 288,768 --------- F:\WINDOWS\system32\rhttpaa.dll
2007-12-22 23:50 . 2006-12-11 14:45 116,736 --------- F:\WINDOWS\system32\aaclient.dll
2007-12-22 23:50 . 2006-12-11 14:45 36,352 --------- F:\WINDOWS\system32\tsgqec.dll
2007-12-22 23:49 . 2007-08-21 07:16 683,520 -----c--- F:\WINDOWS\system32\dllcache\inetcomm.dll
2007-12-22 23:49 . 2007-05-16 16:12 85,504 -----c--- F:\WINDOWS\system32\dllcache\wabimp.dll
2007-12-22 23:44 . 2006-06-14 09:47 172,416 -----c--- F:\WINDOWS\system32\dllcache\kmixer.sys
2007-12-22 23:44 . 2006-06-14 10:00 82,944 -----c--- F:\WINDOWS\system32\dllcache\wdmaud.sys
2007-12-22 23:44 . 2006-06-26 18:40 8,192 -----c--- F:\WINDOWS\system32\dllcache\rasadhlp.dll
2007-12-22 23:44 . 2006-06-14 09:47 6,400 -----c--- F:\WINDOWS\system32\dllcache\splitter.sys
2007-12-22 23:42 . 2007-05-16 16:11 1,314,816 -----c--- F:\WINDOWS\system32\dllcache\msoe.dll
2007-12-22 23:42 . 2007-05-16 16:12 510,976 -----c--- F:\WINDOWS\system32\dllcache\wab32.dll
2007-12-22 23:42 . 2006-05-05 10:41 453,120 -----c--- F:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-12-22 23:42 . 2006-04-20 12:51 359,808 -----c--- F:\WINDOWS\system32\dllcache\tcpip.sys
2007-12-22 23:42 . 2006-05-05 10:47 174,592 -----c--- F:\WINDOWS\system32\dllcache\rdbss.sys
2007-12-22 23:42 . 2007-05-16 16:11 86,528 -----c--- F:\WINDOWS\system32\dllcache\directdb.dll
2007-12-22 23:41 . 2006-03-17 01:38 28,672 --------- F:\WINDOWS\system32\verclsid.exe
2007-12-22 23:39 . 2007-12-22 23:39 <DIR> d-------- F:\WINDOWS\system32\de
2007-12-22 23:39 . 2006-01-10 00:10 184,320 --------- F:\WINDOWS\system32\microsoft.managementconsole.dll
2007-12-22 23:39 . 2006-01-10 00:11 106,496 --------- F:\WINDOWS\system32\mmcfxcommon.dll
2007-12-22 23:39 . 2006-01-11 02:20 33,792 --------- F:\WINDOWS\system32\mmcperf.exe
2007-12-22 23:30 . 2007-12-23 00:15 <DIR> d-------- F:\WINDOWS\$hf_mig$
2007-12-22 23:06 . 2007-12-22 23:27 <DIR> d-------- F:\Programme\com! Update Pack Builder 2008
2007-12-22 19:52 . 2007-12-22 19:52 <DIR> d-------- F:\~ErdUserProfile.$$$
2007-12-22 19:32 . 2007-12-22 19:32 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-22 19:32 . 2007-12-22 19:34 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\PrevxCSI
2007-12-22 16:52 . 2007-12-22 16:52 <DIR> d-------- F:\RkUnhooker
2007-12-22 16:31 . 2007-12-22 16:48 <DIR> d-------- F:\Programme\Mamutu
2007-12-22 16:16 . 2007-12-23 21:20 <DIR> d-------- F:\Programme\RootKit Hook Analyzer
2007-12-22 16:16 . 2007-01-21 17:42 9,472 --a------ F:\WINDOWS\system32\DRIVERS\rspsc.sys
2007-12-21 22:18 . 2007-12-21 22:18 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\Uniblue
2007-12-21 21:43 . 2007-12-21 21:43 <DIR> d-------- F:\RootkitNO
2007-12-21 21:12 . 2007-12-21 21:12 <DIR> d-------- F:\Dokumente und Einstellungen\ace\Anwendungsdaten\RegRun
2007-12-21 20:39 . 2007-12-21 20:39 <DIR> d-------- F:\Programme\Greatis
2007-12-21 20:39 . 2003-09-06 15:55 57,556 --a------ F:\WINDOWS\guard.bmp
2007-12-21 10:58 . 2007-12-21 10:58 <DIR> d-------- F:\Programme\Avira
2007-12-21 10:58 . 2007-12-21 10:58 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-20 06:41 . 2007-12-25 21:58 54,156 --ah----- F:\WINDOWS\QTFont.qfn
2007-12-20 06:41 . 2007-12-20 06:41 1,409 --a------ F:\WINDOWS\QTFont.for
2007-12-20 06:26 . 2007-12-20 06:26 0 --a------ F:\WINDOWS\vpc32.INI
2007-12-19 19:03 . 2007-12-20 18:43 <DIR> d-------- F:\Programme\Symantec
2007-12-19 19:03 . 2007-12-19 19:03 110,952 --a------ F:\WINDOWS\system32\DRIVERS\SYMEVENT.SYS
2007-12-19 19:03 . 2007-12-19 19:03 48,768 --a------ F:\WINDOWS\system32\S32EVNT1.DLL
2007-12-19 19:03 . 2007-12-19 19:03 8,014 --a------ F:\WINDOWS\system32\DRIVERS\SYMEVENT.CAT
2007-12-19 19:03 . 2007-12-19 19:03 805 --a------ F:\WINDOWS\system32\DRIVERS\SYMEVENT.INF
2007-12-19 18:54 . 2007-12-19 18:54 123 --a------ F:\WINDOWS\rootkitno.ini
2007-12-19 17:53 . 2007-12-19 10:10 202 --a------ F:\bootini.uns
2007-12-18 16:54 . 2007-12-18 16:58 6,904 --ahs---- F:\WINDOWS\system32\vvvwa.ini
2007-12-18 16:54 . 2007-12-18 16:58 6,739 --ahs---- F:\WINDOWS\system32\vvvwa.ini2
2007-12-11 17:12 . 2007-12-11 17:22 <DIR> d-------- F:\segelbilder
2007-11-30 22:06 . 2007-12-08 14:24 <DIR> d-------- F:\fm8picsneu
2007-11-28 12:33 . 2007-03-08 00:51 129,784 --------- F:\WINDOWS\system32\pxafs.dll
2007-11-28 12:33 . 2007-03-08 00:51 9,464 --------- F:\WINDOWS\system32\DRIVERS\cdralw2k.sys
2007-11-28 12:33 . 2007-03-08 00:51 9,336 --------- F:\WINDOWS\system32\DRIVERS\cdr4_xp.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-25 20:45 --------- d-----w F:\Programme\PeerGuardian2
2007-12-25 20:34 --------- d-----w F:\Programme\firefoxbeta
2007-12-25 13:44 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-25 12:13 --------- d-----w F:\Programme\Sunbelt Software
2007-12-24 18:24 --------- d-----w F:\Programme\Gemeinsame Dateien\MicroWorld
2007-12-24 12:19 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-24 10:49 --------- d-----w F:\Programme\WinAce
2007-12-24 10:45 --------- d-----w F:\Programme\Gemeinsame Dateien\AVSMedia
2007-12-24 10:39 --------- d-----w F:\Programme\Ineta
2007-12-24 10:36 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\River Past G4
2007-12-22 20:06 --------- d-----w F:\Programme\TrojanHunter 4.6
2007-12-22 20:06 --------- d-----w F:\Programme\nbpro
2007-12-22 20:06 --------- d-----w F:\Programme\ICQ
2007-12-22 20:06 --------- d-----w F:\Programme\FlashFXP
2007-12-22 20:06 --------- d-----w F:\Programme\Direct Connect
2007-12-22 20:06 --------- d-----w F:\Programme\Audiograbber
2007-12-22 20:06 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL Manager
2007-12-22 20:06 --------- d-----w F:\Dokumente und Einstellungen\ace\Anwendungsdaten\UseNeXT
2007-12-22 20:06 --------- d-----w F:\Dokumente und Einstellungen\ace\Anwendungsdaten\Azureus
2007-12-22 19:37 --------- d-----w F:\Programme\PCPitstop
2007-12-22 19:34 --------- d-----w F:\Programme\Eidos
2007-12-22 19:32 --------- d-----w F:\Programme\GrabIt Pro 6.02
2007-12-22 19:31 --------- d-----w F:\Programme\GrabIt
2007-12-22 19:31 --------- d-----w F:\Programme\Google
2007-12-22 19:31 --------- d-----w F:\Programme\FlusiFix-2006
2007-12-22 19:30 --------- d-----w F:\Programme\dvdSanta
2007-12-22 19:27 --------- d-----w F:\Programme\BEWERBUNGS-MASTER
2007-12-22 19:26 --------- d-----w F:\Programme\AviSynth 2.5
2007-12-22 19:26 --------- d-----w F:\Programme\Avi2Dvd
2007-12-22 19:25 --------- d-----w F:\Programme\a-squared Free
2007-12-20 17:43 --------- d-----w F:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-20 05:31 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-12-19 06:33 --------- d-----w F:\Programme\DAEMON Tools
2007-12-18 23:31 --------- d-----w F:\Programme\DaemonTools_WhenUSave_Installer
2007-12-18 15:49 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-18 15:46 --------- d-----w F:\Programme\Soulseek
2007-12-12 08:18 --------- d--h--w F:\Programme\InstallShield Installation Information
2007-12-09 13:43 --------- d-----w F:\Programme\The Adventure Company
2007-11-29 12:21 --------- d-----w F:\Programme\FM Modifier 2.2
2007-11-28 11:34 --------- d-----w F:\Programme\Winamp
2007-11-27 10:27 --------- d-----w F:\Dokumente und Einstellungen\ace\Anwendungsdaten\Apple Computer
2007-11-27 10:26 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-26 18:48 --------- d-----w F:\Programme\MP3Gain
2007-11-13 18:15 --------- d-----w F:\Programme\Soulseek-Test
2007-11-13 10:25 20,480 ----a-w F:\WINDOWS\system32\drivers\secdrv.sys
2007-11-05 07:42 413,696 ----a-w F:\WINDOWS\system32\wrap_oal.dll
2007-11-05 07:42 110,592 ----a-w F:\WINDOWS\system32\OpenAL32.dll
2007-11-04 12:26 --------- d-----w F:\Programme\THQ
2007-11-01 14:15 --------- d-----w F:\Programme\Aurora Das Letzte Experiment
2007-11-01 13:53 --------- d-----w F:\Programme\OpenAL
2007-11-01 13:51 --------- d-----w F:\Programme\dtp
2007-11-01 13:33 --------- d-----w F:\Programme\RTL_Playtainment
2007-11-01 12:56 --------- d-----w F:\Programme\CENEGA
2007-11-01 11:28 --------- d-----w F:\Programme\ANACONDA
2007-10-31 17:58 --------- d-----w F:\Programme\ArtMoney
2007-10-29 22:42 1,293,312 ------w F:\WINDOWS\system32\quartz.dll
2007-10-29 09:47 --------- d-----w F:\Programme\Hex-Editor MX
2007-10-23 13:11 114,688 ----a-w F:\WINDOWS\system32\wmatimer.dll
2007-10-20 05:01 227,328 ----a-w F:\WINDOWS\system32\wmasf.dll
2007-10-14 16:07 12,366 --sha-w F:\WINDOWS\system32\KGyGaAvL.sys
2007-10-11 14:39 107,888 ----a-w F:\WINDOWS\system32\CmdLineExt.dll
2007-09-27 16:11 297,984 ----a-w F:\WINDOWS\system32\msctf.dll
2007-08-06 09:35 1,800 ----a-w F:\Dokumente und Einstellungen\ace\aseinactive.dat
2007-01-27 10:06 1,800 ----a-w F:\Dokumente und Einstellungen\Administrator\aseinactive.dat
2007-01-26 22:45 14 ----a-w F:\Dokumente und Einstellungen\ace\getfile.dat
2001-11-23 04:08 712,704 ----a-w F:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2006-07-21 12:29 56 --sh--r F:\WINDOWS\system32\9357005A4A.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerGuardian"="F:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 17:40]
"CCleaner"="F:\Programme\CCleaner\CCleaner.exe" [2007-11-22 17:10]
"SpybotSD TeaTimer"="F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ooccctrl.exe"="F:\Programme\OO Software\CleverCache\ooccctrl.exe" [2007-01-28 15:08]
"iTunesHelper"="F:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11]
"avgnt"="F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-21 11:01]
"Mamutu Guard"="F:\PROGRAMME\MAMUTU\mamutu.exe" [2007-12-13 07:58]
"AVG7_CC"="F:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-25 14:44]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57]
"AVG7_Run"="F:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-25 14:44]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 fwdrv;Firewall Driver;F:\WINDOWS\system32\drivers\fwdrv.sys [2006-07-18 12:02]
R1 khips;Kerio HIPS Driver;F:\WINDOWS\system32\drivers\khips.sys [2006-07-18 12:02]
R1 SSHDRV82;SSHDRV82;F:\WINDOWS\System32\drivers\SSHDRV82.sys [2005-06-21 17:33]
R1 SSHDRV86;SSHDRV86;F:\WINDOWS\System32\drivers\SSHDRV86.sys [2005-04-21 12:12]
R2 Mamutu;Mamutu Service;"F:\Programme\Mamutu\a2service.exe" [2007-12-13 07:58]
R3 pgfilter;pgfilter;F:\Programme\PeerGuardian2\pgfilter.sys [2005-09-18 17:02]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);F:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS [2002-10-03 00:09]
R3 uscbs109;uscbs109;F:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-21 23:00]
R3 uscsc109;uscsc109;F:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-21 23:00]
S3 HotSpotFSvc;Hotspot Manager;"F:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" [2006-12-12 18:53]
S3 MEMSWEEP2;MEMSWEEP2;F:\WINDOWS\system32\14.tmp []
S3 MMPSY;MMPSY;F:\DOKUME~1\ace\LOKALE~1\Temp\mmpsy.sys [2007-12-08 15:35]
S3 Partizan;Partizan;F:\WINDOWS\system32\drivers\Partizan.sys [2007-12-24 19:28]
S3 RSPSC;RSPSC;F:\WINDOWS\system32\drivers\rspsc.sys [2007-01-21 17:42]
S3 scsiscan;SCSI-Scannertreiber;F:\WINDOWS\system32\DRIVERS\scsiscan.sys [2001-08-17 12:53]
S3 TDslMgrService;T-DSL Manager;"F:\Programme\T-DSL Manager\DslMgrSvc.exe" [2006-12-18 17:45]
S3 TODslService;T-Online DSL-Manager;"F:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2006-05-05 16:10]
S3 USBAAPL;Apple Mobile USB Driver;F:\WINDOWS\system32\Drivers\usbaapl.sys [2007-10-31 14:09]
S3 xlink;XLink Driver (xlink.sys);F:\WINDOWS\system32\Drivers\xlink.sys [2001-01-02 22:53]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ef8d04b7-f31f-11db-8594-806d6172696f}]
\Shell\AutoRun\command - H:\autorun.exe

*Newly Created Service* - PGFILTER
.
Inhalt des "geplante Tasks" Ordners
"2007-12-21 16:15:00 F:\WINDOWS\Tasks\1-Klick-Wartung.job"
- F:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-22 07:23:05 F:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- F:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-25 20:57:10 F:\WINDOWS\Tasks\Startup Analyser.job"
- F:\Programme\Greatis\RegRunSuite\TrojanAnalyser.exe./start
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-25 22:01:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-25 22:03:34 - machine was rebooted



filelist:
----- Root -----------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\

25.12.2007 22:16 43 filelist.txt
25.12.2007 22:13 704.643.072 pagefile.sys
25.12.2007 22:03 19.007 ComboFix.txt
21.12.2007 21:43 212 Reslog.txt
19.12.2007 17:53 210 boot.ini
19.12.2007 10:10 202 bootini.uns
09.11.2007 19:52 1.425.654 unbenannt.bmp
04.11.2007 12:37 27.630.371 timeshift_01_101807_wmvlowwide.wmv

30 Datei(en) 762.463.108 Bytes
0 Verzeichnis(se), 13.993.553.920 Bytes frei

----- Windows --------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\WINDOWS

25.12.2007 22:15 54.156 QTFont.qfn
25.12.2007 22:14 303.279 WindowsUpdate.log
25.12.2007 22:14 157 wiadebug.log
25.12.2007 22:14 50 wiaservc.log
25.12.2007 22:14 2.048 bootstat.dat
25.12.2007 22:12 32.512 SchedLgU.Txt
25.12.2007 21:58 227 system.ini
24.12.2007 22:02 256 adaway.lic
24.12.2007 20:41 (2) winstart.bat
24.12.2007 19:26 1.572 win.ini
24.12.2007 17:57 50 Lic.xxx
23.12.2007 23:14 349 gmer.ini
23.12.2007 22:10 80 gmer_uninstall.cmd
23.12.2007 22:10 585.791 gmer.dll
22.12.2007 20:18 13.377 Partizan.txt
20.12.2007 06:41 1.409 QTFont.for
20.12.2007 06:26 0 vpc32.INI
19.12.2007 18:54 123 rootkitno.ini
28.11.2007 12:29 155 winamp.ini
26.11.2007 21:12 775 cdPlayer.ini
26.11.2007 21:10 116 NeroDigital.ini

154 Datei(en) 17.982.557 Bytes
0 Verzeichnis(se), 13.993.541.632 Bytes frei

----- System ---
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC



----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\WINDOWS\system32

25.12.2007 22:13 374 PARTIZAN.TXT
25.12.2007 22:13 43.941 OODBS.lor
25.12.2007 22:01 62.344 perfc009.dat
25.12.2007 22:01 401.064 perfh009.dat
25.12.2007 22:01 415.470 perfh007.dat
25.12.2007 22:01 74.996 perfc007.dat
25.12.2007 22:01 966.250 PerfStringBackup.INI
25.12.2007 12:38 2.953 CONFIG.NT
24.12.2007 20:41 1.806 AUTOEXEC.NT
24.12.2007 19:28 25.600 Partizan.exe
23.12.2007 19:52 2.645 RootkitReveal.txt
23.12.2007 00:36 2.550 Uninstall.ico
23.12.2007 00:36 1.406 Help.ico
23.12.2007 00:36 30.590 pavas.ico
23.12.2007 00:23 121.336 FNTCACHE.DAT
23.12.2007 00:13 269.926 TZLog.log
21.12.2007 13:57 2.864 winsock.dll
21.12.2007 09:44 2.228 wpa.dbl
19.12.2007 19:03 48.768 S32EVNT1.DLL
18.12.2007 16:58 6.904 vvvwa.ini
18.12.2007 16:58 6.739 vvvwa.ini2
13.12.2007 21:26 156.160 swreg.exe
04.12.2007 01:00 136.704 swsc.exe
02.12.2007 15:00 18.684.536 MRT.exe
14.11.2007 23:43 65.536 QuickTimeVR.qtx
14.11.2007 23:43 49.152 QuickTime.qts
14.11.2007 08:26 450.560 jscript.dll
13.11.2007 12:31 60.416 tzchange.exe
05.11.2007 17:58 260.705 keys.txt
05.11.2007 08:42 413.696 wrap_oal.dll
05.11.2007 08:42 110.592 OpenAL32.dll





----- Prefetch -------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\WINDOWS\Prefetch

25.12.2007 22:16 13.698 FIND.EXE-0EC32F1E.pf
25.12.2007 22:16 21.004 CMD.EXE-087B4001.pf
25.12.2007 22:16 31.986 GETPOPUPINFO.EXE-0D9AB107.pf
25.12.2007 22:16 134.940 IPODSERVICE.EXE-233792DA.pf
25.12.2007 22:16 47.296 WUAUCLT.EXE-399A8E72.pf
25.12.2007 22:16 1.523.066 NTOSBOOT-B00DFAAD.pf
25.12.2007 22:11 25.140 KPF4GUI.EXE-00A05EE1.pf
25.12.2007 22:09 131.450 WINRAR.EXE-15760818.pf
25.12.2007 22:09 29.934 VERCLSID.EXE-3667BD89.pf
25.12.2007 22:08 86.296 IEXPLORE.EXE-2CA9778D.pf
25.12.2007 22:07 18.718 NOTEPAD.EXE-336351A9.pf
25.12.2007 22:06 17.360 DUMPREP.EXE-1B46F901.pf
25.12.2007 22:04 17.916 REGEDIT.EXE-1B606482.pf
25.12.2007 22:03 34.838 LISTDLLS.CFEXE-163777B3.pf
25.12.2007 22:03 11.600 NIRCMD.EXE-1F7FED22.pf
25.12.2007 22:03 28.436 CATCHME.CFEXE-0F2A0789.pf
25.12.2007 22:03 21.442 NIRCMD.CFEXE-19FF4781.pf
25.12.2007 22:03 22.064 FINDSTR.EXE-0CA6274B.pf
25.12.2007 22:03 8.370 GREP.CFEXE-20443039.pf
25.12.2007 22:03 30.396 SED.CFEXE-268D7E58.pf
25.12.2007 22:03 30.318 DUMPHIVE.CFEXE-2ED3B134.pf
25.12.2007 22:02 31.054 CSCRIPT.EXE-1C26180C.pf
25.12.2007 22:01 7.770 MTEE.CFEXE-1E067BC7.pf
25.12.2007 22:01 9.584 SWREG.CFEXE-2BF4FFCD.pf
25.12.2007 22:01 37.736 WMIPRVSE.EXE-28F301A9.pf
25.12.2007 22:01 9.412 VFIND.CFEXE-2033727F.pf
25.12.2007 22:01 13.882 SORT.EXE-194AE83C.pf
25.12.2007 21:58 16.100 TEATIMER.EXE-38E505A8.pf
25.12.2007 21:58 52.320 CCleaner.EXE-065E2F3F.pf
25.12.2007 21:58 32.766 PG2.EXE-100DE05D.pf
25.12.2007 21:58 5.484 AVGCC.EXE-062F63C6.pf
25.12.2007 21:58 51.612 OOCCCTRL.EXE-2C669B45.pf
25.12.2007 21:58 63.388 ITUNESHELPER.EXE-08906EB7.pf
25.12.2007 21:58 33.310 MAMUTU.EXE-32AFC12E.pf
25.12.2007 21:58 55.860 AVGNT.EXE-18356F59.pf
25.12.2007 21:58 15.834 REGT.CFEXE-15DB5DAE.pf
25.12.2007 21:54 52.494 ERDNT.EXE-1C370E1D.pf
25.12.2007 21:54 94.246 ERUNT.CFEXE-039977DB.pf
25.12.2007 21:54 4.514 HANDLE.CFEXE-13427ED2.pf
25.12.2007 21:54 12.118 ATTRIB.EXE-39EAFB02.pf
25.12.2007 21:54 48.792 REGSVR32.EXE-25EEFE2F.pf
25.12.2007 21:54 8.604 SWXCACLS.CFEXE-365F7973.pf
25.12.2007 21:53 8.242 SWSC.CFEXE-3B4FE4FE.pf
25.12.2007 21:49 34.822 CIDAEMON.EXE-27AE97A4.pf
25.12.2007 21:48 98.206 EXPLORER.EXE-082F38A9.pf
25.12.2007 21:48 4.262 SF.CFEXE-164B3B2D.pf
25.12.2007 21:48 14.122 SETPATH.CFEXE-034E3D26.pf
25.12.2007 21:47 3.132 MOVEEX.CFEXE-01B74CA8.pf
25.12.2007 21:47 13.338 ROUTE.EXE-371D32DE.pf
25.12.2007 21:47 6.248 CHCP.COM-18156052.pf
25.12.2007 21:46 45.426 COMBOFIX.EXE-33414BA3.pf
25.12.2007 21:44 21.150 HJT.EXE-368680AC.pf
25.12.2007 21:43 19.046 HIJACKTHIS.EXE-39024128.pf
25.12.2007 21:43 16.308 HJTINSTALL.EXE-366EC6A6.pf
25.12.2007 21:38 66.910 WINWORD.EXE-0AEA99D4.pf
25.12.2007 21:34 41.304 FIREFOX.EXE-06B22EE6.pf
25.12.2007 21:11 14.256 RUNDLL32.EXE-451FC2C0.pf
25.12.2007 21:10 87.988 MSIMN.EXE-0B61806C.pf
25.12.2007 20:52 52.630 PSP.EXE-349851F5.pf
25.12.2007 20:48 44.928 REANIMATOR.EXE-129F8F7A.pf
25.12.2007 20:45 19.000 HIJACKTHIS.EXE-2CC4CC46.pf
25.12.2007 20:43 40.204 SPYBOTSD.EXE-1D495A65.pf
25.12.2007 20:25 19.366 WORDPAD.EXE-1EFCC5C1.pf
25.12.2007 19:47 71.562 MSIEXEC.EXE-2F8A8CAE.pf
25.12.2007 19:13 28.266 TASKMGR.EXE-20256C55.pf
25.12.2007 18:09 11.848 MRT.EXE-1B4A8D49.pf
25.12.2007 18:09 9.648 MRTSTUB.EXE-078360D5.pf
25.12.2007 18:09 53.404 WINDOWS-KB890830-V1.36.EXE-28CD2153.pf
25.12.2007 17:20 26.642 ICQLITE.EXE-2AEFACA7.pf
25.12.2007 16:59 44.698 AVGVV.EXE-026D165B.pf
25.12.2007 16:59 25.910 AVGDIAG.EXE-0384146D.pf
25.12.2007 14:47 51.078 AVGWA.DAT-31187633.pf
25.12.2007 14:46 33.630 AVGW.EXE-151CD72B.pf
25.12.2007 14:46 34.666 AVGINET.EXE-06CECD28.pf
25.12.2007 14:45 32.218 AVGWB.DAT-1DE6677F.pf
25.12.2007 14:45 41.658 AVGCC.EXE-2ED1199D.pf
25.12.2007 14:45 10.608 AVGUPSVC.EXE-0DA751F2.pf
25.12.2007 14:45 36.926 AVGEMC.EXE-38E59DAC.pf
25.12.2007 14:45 42.040 AVGAMSVR.EXE-22E996D2.pf
25.12.2007 14:44 53.556 AVGSETUP.EXE-033F4C43.pf
25.12.2007 14:44 57.184 AVG75AVWT_516A1225.EXE-35C25C08.pf
25.12.2007 14:36 87.820 DFRGNTFS.EXE-269967DF.pf
25.12.2007 14:36 21.480 DEFRAG.EXE-273F131E.pf
25.12.2007 14:35 429.146 Layout.ini
25.12.2007 14:05 31.018 MM.EXE-2200B7B9.pf
25.12.2007 14:05 20.448 MMTRI.TMP-098BD929.pf
25.12.2007 14:05 19.420 MMTRI.EXE-0FDC56BF.pf
25.12.2007 13:56 21.988 OBJMON.EXE-263E70BD.pf
25.12.2007 13:55 19.808 IS-5MKSD.TMP-31793725.pf
25.12.2007 13:55 17.830 OBJMONSETUP.EXE-1B1F5FC3.pf
25.12.2007 13:49 43.718 REANIMATOR.EXE-2D2C7A65.pf
25.12.2007 13:40 18.784 _IU14D2N.TMP-27094B83.pf
25.12.2007 13:40 19.914 UNINS000.EXE-190ECE47.pf
25.12.2007 13:15 55.162 RUNDLL32.EXE-49F57934.pf
25.12.2007 13:14 13.164 UNINS000.EXE-2436BDA4.pf
25.12.2007 13:14 15.268 ADAWAY.EXE-293F88C6.pf
25.12.2007 13:14 13.474 UNINS000.EXE-2B26B9AC.pf
25.12.2007 13:13 30.688 SBCSSVC.EXE-1237A9F8.pf
25.12.2007 13:13 52.670 COUNTERSPY.EXE-2C1EF53B.pf
25.12.2007 13:12 23.910 SAVPROGRESS.EXE-1028BDF7.pf
25.12.2007 13:12 45.880 SAVMAIN.EXE-295C72AE.pf
25.12.2007 13:12 16.550 RUNONCE.EXE-2803F297.pf
25.12.2007 13:12 16.772 GRPCONV.EXE-111CD845.pf
25.12.2007 13:12 22.320 RUNDLL32.EXE-2AA5ED5C.pf
25.12.2007 13:09 29.710 RUNDLL32.EXE-127AA482.pf
25.12.2007 13:09 25.594 RUNDLL32.EXE-383821E4.pf
25.12.2007 13:03 18.370 SBCSTRAY.EXE-17DF728D.pf
25.12.2007 13:03 37.862 SBWSC.EXE-37CEE674.pf
25.12.2007 12:48 47.814 UPDATE.EXE-3A80F1D2.pf
25.12.2007 12:48 19.706 PREUPD.EXE-18CBCD87.pf
25.12.2007 12:48 43.946 ALMON.EXE-343B0CDC.pf
25.12.2007 10:00 56.006 ASHDISP.EXE-0B874892.pf
25.12.2007 09:59 10.578 WDFMGR.EXE-2CF4013B.pf
25.12.2007 09:59 19.138 SVCHOST.EXE-3530F672.pf
25.12.2007 09:59 52.542 ALSVC.EXE-1BAD42EA.pf
25.12.2007 09:33 73.496 ALUPDATE.EXE-07285CF1.pf
25.12.2007 09:33 48.652 SAVADMINSERVICE.EXE-33A6968B.pf
25.12.2007 09:33 66.386 SAVSERVICE.EXE-16C8C2B7.pf
25.12.2007 09:27 47.896 RUNDLL32.EXE-143F3DC9.pf
25.12.2007 09:25 23.434 SETUP.OVR-10EB9DE2.pf
25.12.2007 09:25 94.044 AVAST.SETUP-2B043760.pf
25.12.2007 09:24 21.848 SETUP.EXE-370BD98B.pf
25.12.2007 09:23 35.712 SAVW70SASFX.EXE-0F832D3B.pf
25.12.2007 06:02 22.984 RASAUTOU.EXE-18B88A68.pf
24.12.2007 22:12 15.022 REGEDIT.COM-08A42FB8.pf
24.12.2007 19:11 18.514 MWAVL.EXE-21A642C9.pf
24.12.2007 19:11 82.984 MWAV.EXE-3424B138.pf
22.12.2007 19:38 30.898 UNHACKME.EXE-104BF885.pf
21.12.2007 20:33 18.762 UNHACKME.EXE-217E2011.pf
21.12.2007 17:52 18.528 UNHACKME.EXE-1E1AAFB7.pf
130 Datei(en) 6.317.236 Bytes
0 Verzeichnis(se), 13.993.410.560 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\WINDOWS\tasks

25.12.2007 22:14 336 Startup Analyser.job
25.12.2007 22:14 6 SA.DAT
22.12.2007 08:23 276 AppleSoftwareUpdate.job
21.12.2007 17:15 392 1-Klick-Wartung.job
18.08.2001 13:00 65 desktop.ini
5 Datei(en) 1.075 Bytes
0 Verzeichnis(se), 13.993.414.656 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\WINDOWS\Temp


----- Temp -----------------------------
Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 8C5B-88AC

Verzeichnis von F:\DOKUME~1\ace\LOKALE~1\Temp
Seitenanfang Seitenende
26.12.2007, 11:08
Member

Beiträge: 3716
#4 hi, stell antivir so ein:
http://board.protecus.de/t23979.htm
zusätzlich masterbootsektoren durchsuchen on
- rootkitsuche on
update antivir lasse einen scann über alle deine festplatten laufen.
achtung!!! wenn eine meldung appl/mirc.cmd oder änlich auftaucht, bitte ignorieren, handelt sihc um combofix. sonst alles in quarantäne log posten
Seitenanfang Seitenende
26.12.2007, 14:11
...neu hier

Themenstarter

Beiträge: 9
#5 hier mein antivirlog:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 26. Dezember 2007 11:14

Es wird nach 992122 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: ACE-0IW8LPQDDC9

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 10:01:21
ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 10:01:21
ANTIVIR3.VDF : 7.0.1.154 279040 Bytes 25.12.2007 10:12:15
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 21.12.2007 10:01:22
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 21.12.2007 10:01:22
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: f:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: K:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 26. Dezember 2007 11:14

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '87306' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgcc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mamutu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ooccctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4gui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ooccag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kpf4ss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgemc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgupsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgamsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\proggies\Zealot.-.All.Video.Splitter.v1.2.6-UCF.rar
[0] Archivtyp: RAR
--> keygen.All.Video.Splitter.v1.2.6.rar
[1] Archivtyp: RAR
--> keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d32dca.qua' verschoben!
C:\proggies\Zealot.-.All.Video.Splitter.v1.2.6-UCF\keygen.All.Video.Splitter.v1.2.6.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47eb2e0a.qua' verschoben!
Beginne mit der Suche in 'F:\'
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
F:\Dokumente und Einstellungen\ace\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[WARNUNG] Die Datei wurde ignoriert.
F:\Programme\ArtMoney\artmoney.dll
[FUND] Enthält Erkennungsmuster des SPR/HookDLL.B-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e636ed.qua' verschoben!
F:\System Volume Information\_restore{374BC271-FCAB-47B2-AEAB-2D769436A01E}\RP2\A0000058.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a24131.qua' verschoben!
F:\System Volume Information\_restore{374BC271-FCAB-47B2-AEAB-2D769436A01E}\RP2\A0000101.dll
[FUND] Enthält Erkennungsmuster des SPR/HookDLL.B-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a2413a.qua' verschoben!
F:\WINDOWS\system32\DRIVERS\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
F:\WINDOWS\system32\DRIVERS\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'J:\' <Volume>
Beginne mit der Suche in 'K:\' <SICHERUNG>


Ende des Suchlaufs: Mittwoch, 26. Dezember 2007 13:48
Benötigte Zeit: 2:34:29 min

Der Suchlauf wurde vollständig durchgeführt.

14711 Verzeichnisse wurden überprüft
403850 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
403843 Dateien ohne Befall
2328 Archive wurden durchsucht
4 Warnungen
72 Hinweise
87306 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
26.12.2007, 14:22
Member

Beiträge: 3716
#6 hi, erstelle bitte einen neuen ordner namens böse
gehe nun in die antivir quarantäne und wähle diese datei
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d32dca.qua' verschoben!
bitte dann wiederherstellen in auswählen und hier hochladen:
http://www.virustotal.com/en/indexf.html
bitte das ergebniss mit tabellenkopf und additional information posten.
diese datei musst du wieder herstellen:
F:\Programme\ArtMoney\artmoney.dll
[FUND] Enthält Erkennungsmuster des SPR/HookDLL.B-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e636ed.qua' verschoben!
brauchst du sicher wieder... bitte in quarantäne gehen wiederherstellen wählen. du kannst den ordner bzw. die datei als ausnahme auswählen in dem du unter konfiguration auf guard und ausname gehst und sie einträgst, und in der suche musst du das selbe machen.. nach dem posten der ergebnisse machen wir rootkitscans aber dazu gleich mehr
Seitenanfang Seitenende
26.12.2007, 15:27
...neu hier

Themenstarter

Beiträge: 9
#7 Datei Zealot.-.All.Video.Splitter.v1.2. empfangen 2007.12.26 15:15:14 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.26.10 2007.12.26 -
AntiVir 7.6.0.46 2007.12.26 -
Authentium 4.93.8 2007.12.26 -
Avast 4.7.1098.0 2007.12.26 -
AVG 7.5.0.516 2007.12.25 -
BitDefender 7.2 2007.12.26 -
CAT-QuickHeal 9.00 2007.12.25 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.26 -
DrWeb 4.44.0.09170 2007.12.26 -
eSafe 7.0.15.0 2007.12.25 suspicious Trojan/Worm
eTrust-Vet 31.3.5400 2007.12.24 -
Ewido 4.0 2007.12.26 -
FileAdvisor 1 2007.12.26 -
Fortinet 3.14.0.0 2007.12.26 PossibleThreat
F-Prot 4.4.2.54 2007.12.25 -
F-Secure 6.70.13030.0 2007.12.26 -
Ikarus T3.1.1.15 2007.12.26 Win32.SuspectCrc
Kaspersky 7.0.0.125 2007.12.26 -
McAfee 5192 2007.12.24 -
Microsoft 1.3109 2007.12.26 -
NOD32v2 2747 2007.12.25 -
Norman 5.80.02 2007.12.26 -
Panda 9.0.0.4 2007.12.25 Suspicious file
Prevx1 V2 2007.12.26 -
Rising 20.24.21.00 2007.12.26 -
Sophos 4.24.0 2007.12.26 Mal/Packer
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.26 -
TheHacker 6.2.9.168 2007.12.22 -
VBA32 3.12.2.5 2007.12.26 -
VirusBuster 4.3.26:9 2007.12.26 Packed/FSG
Webwasher-Gateway 6.6.2 2007.12.26 Packer.FSG

weitere Informationen
File size: 2110115 bytes
MD5: 03b1de5ca9dfcecd337f6fba251b3b50
SHA1: 87844d756cb81f62088847f5adb42d84a2f48bbf
PEiD: -
packers: FSG
Seitenanfang Seitenende
26.12.2007, 16:14
Member

Beiträge: 3716
#8 hi, würdest du die datei bitte an avira senden:
http://analysis.avira.com/samples/index.php
bitte die antwort von avira hier posten und die datei so lang wiededr der quarantäne hinzufügen
Seitenanfang Seitenende
26.12.2007, 16:16
Member

Beiträge: 3716
#9 weiterhin führe diese rootkitscans aus:
http://www.hijackthis-forum.de/showthread.php?t=20219
chatchme:
http://www.hijackthis-forum.de/showthread.php?t=26821
bitte poste alle logs
Seitenanfang Seitenende
27.12.2007, 01:29
...neu hier

Themenstarter

Beiträge: 9
#10 Von Antivir hab ich noch keine Antwort erhalten, bei AVG Antirootkit, Bitdefender Antirootkit und
Panda Antirootkit hatte ich leider nicht die Möglichkeit ein Log-File zu speichern, die haben aber
nichts gefunden.

Ich hab die restlichen Logfiles in ein einer textdatei angehangen da sie zu lang für den Post waren

EDIT: hab nun eine antwort von Antivir bekommen

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00109821.




Wir haben folgende Archivdateien empfangen:



Datei ID Dateiname Größe (Byte) Ergebnis
3606694 Zealot.-.All.Vide...CF.rar 2.01 MB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
3606695 file_id.diz 564 Byte CLEAN
3606696 allsplitter.exe 2.01 MB CLEAN
3606697 ucf10yrs.nfo 6.65 KB CLEAN
3606698 Zealotsoft.All.Vi....6.txt 777 Byte CLEAN
3606699 keygen.exe 38.22 KB FALSE POSITIVE

Anhang: logs.txt
Dieser Beitrag wurde am 28.12.2007 um 20:17 Uhr von gecko2004 editiert.
Seitenanfang Seitenende
29.12.2007, 10:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Entferne auf C:\ Qoobox-->Papierkorb leeren

Du benutzt neben Antivir auch noch AVG,Eins zuviel
Du hast neben diese 2 auch noch eScan und Rootkitscanner drauf
Saubere dein Rechner von al diesen scanner

Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimer
zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK


Ewido Micro
Scanne mit Ewido Micro
Danach wähle remove infections
__________
MfG Argus
Seitenanfang Seitenende
29.12.2007, 13:31
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 Hallo gecko2004

das hier gehoert zum Vundo-Virus, sollte geloescht werden:

Verzeichnis von F:\WINDOWS\system32
18.12.2007 16:58 6.904 vvvwa.ini
18.12.2007 16:58 6.739 vvvwa.ini2

am besten, den Vundofix anwenden:
http://www.virus-protect.org/artikel/tools/vundofixx.html

wenn das erledigt ist, scanne mit sophos im normalmodus.
http://www.virus-protect.org/artikel/tools/sdfix.html
du kannst auch sdfix im abgesicherten modus anwenden + das Log hier posten

Gruss
Pinguin ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.12.2007, 16:30
...neu hier

Themenstarter

Beiträge: 9
#13 @ Arnold

Hab alles so gemacht wie du es geschrieben hast, ewido hat aber nichts gefunden.

@pinguin

Vundofix hat merkwürdigerweise nichts gefunden, hab die Dateien von Hand gelöscht,
interessant war, das der Haken bei geschütze Systemdateien ausblenden wieder gesetzt
war, und ich hab das garantiert nicht so eingestellt..

hab sdfix im abgesicherten modus laufen lassen hier mal das log:

SDFix: Version 1.120

Run by ace on 29.12.2007 at 15:48

Microsoft Windows XP [Version 5.1.2600]

Running From: F:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

F:\WINDOWS\system32\TFTP1652 - Deleted
F:\WINDOWS\system32\TFTP1720 - Deleted
F:\WINDOWS\system32\TFTP1868 - Deleted
F:\WINDOWS\system32\TFTP3808 - Deleted




Removing Temp Files...

ADS Check:

F:\WINDOWS
No streams found.

F:\WINDOWS\system32
No streams found.

F:\WINDOWS\system32\svchost.exe
No streams found.

F:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-29 16:01:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:fd81d653
"s2"=dword:637e5eec
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:74,85,c1,63,de,60,4f,f9,a2,44,b1,e7,ed,c4,cf,e0,55,08,f7,2e,cd,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:b8,e5,16,cb,52,87,84,1b,88,a0,66,7e,b5,73,3f,4d,95,58,6d,45,25,..
"a0"=hex:20,01,00,00,93,05,71,98,38,a5,65,d2,4f,18,f0,e6,a5,a8,84,9f,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:62,46,7d,b5,0f,be,d8,d9,e1,50,7d,28,3a,85,48,60,06,b8,1f,54,57,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:40,e7,31,15,83,1a,de,46,23,b5,ac,39,ee,3f,92,05,dd,09,f1,2f,34,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:6e,fc,27,e8,aa,ed,ba,6a,31,c4,55,09,37,a1,ea,ca,03,2d,20,0f,1c,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8f,3e,c3,29,74,8a,f0,29,e3,61,78,f6,f1,e2,cc,35,d1,..
"khjeh"=hex:27,6e,95,0b,3e,fd,b9,48,11,98,91,05,9f,a2,02,6c,aa,f1,40,c1,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6d,a4,94,5a,bc,d4,83,a0,6d,04,2b,5a,f5,0a,b9,39,75,10,b9,14,1c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:6e,fc,27,e8,aa,ed,ba,6a,31,c4,55,09,37,a1,ea,ca,03,2d,20,0f,1c,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8f,3e,c3,29,74,8a,f0,29,e3,61,78,f6,f1,e2,cc,35,d1,..
"khjeh"=hex:27,6e,95,0b,3e,fd,b9,48,11,98,91,05,9f,a2,02,6c,aa,f1,40,c1,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6d,a4,94,5a,bc,d4,83,a0,6d,04,2b,5a,f5,0a,b9,39,75,10,b9,14,1c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:6e,fc,27,e8,aa,ed,ba,6a,31,c4,55,09,37,a1,ea,ca,03,2d,20,0f,1c,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8f,3e,c3,29,74,8a,f0,29,e3,61,78,f6,f1,e2,cc,35,d1,..
"khjeh"=hex:27,6e,95,0b,3e,fd,b9,48,11,98,91,05,9f,a2,02,6c,aa,f1,40,c1,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6d,a4,94,5a,bc,d4,83,a0,6d,04,2b,5a,f5,0a,b9,39,75,10,b9,14,1c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:74,85,c1,63,de,60,4f,f9,a2,44,b1,e7,ed,c4,cf,e0,55,08,f7,2e,cd,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:b8,e5,16,cb,52,87,84,1b,88,a0,66,7e,b5,73,3f,4d,95,58,6d,45,25,..
"a0"=hex:20,01,00,00,93,05,71,98,38,a5,65,d2,4f,18,f0,e6,a5,a8,84,9f,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:62,46,7d,b5,0f,be,d8,d9,e1,50,7d,28,3a,85,48,60,06,b8,1f,54,57,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:40,e7,31,15,83,1a,de,46,23,b5,ac,39,ee,3f,92,05,dd,09,f1,2f,34,..

scanning hidden registry entries ...


scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - F:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Fri 21 Jul 2006 56 ..SHR --- "F:\WINDOWS\system32\9357005A4A.sys"
Sun 14 Oct 2007 12,366 A.SH. --- "F:\WINDOWS\system32\KGyGaAvL.sys"
Sat 21 Jun 2003 377,344 A..H. --- "F:\Programme\Smart Projects\IsoBuster\Help\AHlp.exe"

Finished!
Seitenanfang Seitenende
29.12.2007, 17:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 das System ist/war voll kompromitiert... siehe die FTP-Server, die sich im System eingenistet hatten - und vollen Zugriff drauf hatten....

scanne mit Sophos (im normalmodus) und poste den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.12.2007, 22:35
...neu hier

Themenstarter

Beiträge: 9
#15 Sophos Scan:

Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332156 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 20:56:29, System date 29 December 2007
Command line qualifiers are: -f -nb --stop-scan

IDE directory is: F:\SDFix\IDE

Using IDE file revkey-a.ide
Using IDE file cargar-a.ide
Using IDE file startp-w.ide
Using IDE file autoru-y.ide
Using IDE file ldpin-rg.ide
Using IDE file killa-ed.ide
Using IDE file sillyp-a.ide
Using IDE file agen-gis.ide
Using IDE file patch-c.ide
Using IDE file dloa-bgi.ide
Using IDE file mailb-ci.ide
Using IDE file silly-bp.ide
Using IDE file ppntdr-a.ide
Using IDE file agen-giq.ide
Using IDE file rbot-gvk.ide
Using IDE file goopo-a.ide
Using IDE file ambler-a.ide
Using IDE file spy-ad.ide
Using IDE file dload-ab.ide
Using IDE file bank-ejw.ide
Using IDE file sdbo-djc.ide
Using IDE file rbot-gvm.ide
Using IDE file agen-gia.ide
Using IDE file poison-n.ide
Using IDE file torpi-by.ide
Using IDE file cekar-e.ide
Using IDE file nutpea-a.ide
Using IDE file rbot-gvl.ide
Using IDE file access-a.ide
Using IDE file psyme-fx.ide
Using IDE file drpr-gen.ide
Using IDE file agen-ghn.ide
Using IDE file dloa-bfz.ide
Using IDE file delf-ezi.ide
Using IDE file agen-ght.ide
Using IDE file zlob-fam.ide
Using IDE file bckd-qkk.ide
Using IDE file votera-a.ide
Using IDE file banlo-et.ide
Using IDE file agen-gil.ide
Using IDE file sdbo-dje.ide
Using IDE file autoru-s.ide
Using IDE file dwnl-gzh.ide
Using IDE file banco-ak.ide
Using IDE file trats-a.ide
Using IDE file smit-a.ide
Using IDE file jetdro-a.ide
Using IDE file dropp-sr.ide
Using IDE file delf-ezc.ide
Using IDE file autoru-x.ide
Using IDE file autoru-t.ide
Using IDE file sohan-ap.ide
Using IDE file tagbot-a.ide
Using IDE file zlob-ago.ide
Using IDE file mabeza-b.ide
Using IDE file agen-ghm.ide
Using IDE file zlob-agj.ide
Using IDE file hupig-sv.ide
Using IDE file wiepaz-a.ide
Using IDE file psyme-gb.ide
Using IDE file blehs-a.ide
Using IDE file zbot-b.ide
Using IDE file mypi-fam.ide
Using IDE file silly-tl.ide
Using IDE file psyme-gc.ide
Using IDE file silly-tt.ide
Using IDE file tanto-g.ide
Using IDE file banlo-eu.ide
Using IDE file atax-a.ide
Using IDE file strat-tl.ide
Using IDE file looke-eb.ide
Using IDE file agen-giu.ide
Using IDE file pws-apl.ide
Using IDE file agen-giv.ide
Using IDE file spybo-of.ide
Using IDE file feebs-bz.ide
Using IDE file buzzit-b.ide
Using IDE file agen-giy.ide
Using IDE file proxy-ib.ide
Using IDE file ymworm-a.ide
Using IDE file framer-b.ide
Using IDE file bankd-dc.ide
Using IDE file rbot-gvo.ide
Using IDE file ircbo-zm.ide
Using IDE file etap-a.ide
Using IDE file dloa-bgr.ide
Using IDE file conho-al.ide
Using IDE file agen-gjg.ide
Using IDE file dwnl-gzs.ide
Using IDE file silly-bq.ide
Using IDE file agen-gjl.ide
Using IDE file tibspk-b.ide
Using IDE file drop-d.ide
Using IDE file kenfa-a.ide
Using IDE file bdoo-aiy.ide
Using IDE file agen-gjq.ide
Using IDE file linea-cu.ide
Using IDE file agen-gjr.ide
Using IDE file dloa-bgs.ide
Using IDE file agen-gju.ide
Using IDE file mutrk-a.ide
Using IDE file linea-cv.ide
Using IDE file bancb-qr.ide
Using IDE file ranck-fs.ide
Using IDE file bdoo-ajb.ide
Using IDE file agen-ghf.ide
Using IDE file hupig-sx.ide
Using IDE file cimuz-cs.ide
Using IDE file nmism-a.ide
Using IDE file dorf-aj.ide
Using IDE file vbdrop-e.ide
Using IDE file vb-dyd.ide
Using IDE file tibs-tv.ide
Using IDE file dorf-ak.ide
Using IDE file dload-ae.ide
Using IDE file bbdos-a.ide
Using IDE file virtin-a.ide
Using IDE file dload-af.ide
Using IDE file dload-ag.ide
Using IDE file vb-dye.ide
Using IDE file dorf-am.ide
Using IDE file autor-ad.ide
Using IDE file onlin-ag.ide
Using IDE file agen-gkh.ide
Using IDE file hoxi-b.ide
Using IDE file bank-ekh.ide
Using IDE file vb-dyf.ide
Using IDE file drop-e.ide

Full Scanning

Could not open F:\WINDOWS\system32\DRIVERS\sptd.sys

4 boot sectors swept.
49983 files swept in 1 hour, 15 minutes and 15 seconds.
1 error was encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende