Kann Trojaner nicht löschen und nach format C: immer noch da! was soll ich tun?

#1 hallo,
ich bin neu hier und habe mich aus verzwiflung angemeldet. mein antivir hat mir mehrere trojaner angezeigt und da habe ich mir gedacht ich formatiere einfach.
aber nach dem formatieren kam immer noch die meldung, dass ein trojaner gefunden wurde. dann habe ich es mit antivir versucht und nachdem ich löschen geklickt habe und wieder runter und wieder hoch gefahren habe kommt wieder trojaner gefunden. jetzt habe ich mich hier schon mal ein bischen eingelesen und habe hier den bericht von HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:33, on 08.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3868 bytes



was soll ich tun??

gruß und danke.

#2 ICH1992

1.
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Logon Application

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

winIogon.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

--------------------------------------------------------------------------

«
poste das log von Combofix hier
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Windows Logon Application

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 08.01.2008 13:12:34 for strings:
; 'windows logon application'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application"="C:\\WINDOWS\\System32\\winIogon.exe"

; End Of The Log...


winIogon.exe

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 08.01.2008 13:13:21 for strings:
; 'winiogon.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application"="C:\\WINDOWS\\System32\\winIogon.exe"

; End Of The Log...

#4 «
poste das log von Combofix hier
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 ComboFix 08-01-07.5 - PADDY 2008-01-08 13:22:34.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.295 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\PADDY\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\winldr.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 13:22 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 13:07 . 2008-01-08 13:07 <DIR> d-------- C:\Programme\PowerArchiver
2008-01-08 12:29 . 2008-01-08 12:29 <DIR> d-------- C:\Temp
2008-01-07 20:54 . 2008-01-07 20:54 0 -ra------ C:\WINDOWS\system32\TFTP2372
2008-01-07 20:54 . 2008-01-07 20:54 0 -ra------ C:\WINDOWS\system32\TFTP1044
2008-01-07 20:31 . 2008-01-07 20:31 0 -ra------ C:\WINDOWS\system32\TFTP3132
2008-01-07 20:28 . 2008-01-07 20:28 66 --a------ C:\WINDOWS\system32\o
2008-01-07 20:23 . 2008-01-07 20:23 0 -ra------ C:\WINDOWS\system32\TFTP1732
2008-01-07 20:06 . 2008-01-07 20:08 41,984 --ah----- C:\WINDOWS\system32\dmfeif.exe
2008-01-07 19:27 . 2008-01-07 19:27 0 -ra------ C:\WINDOWS\system32\TFTP1716
2008-01-07 19:25 . 2008-01-07 19:25 0 -ra------ C:\WINDOWS\system32\TFTP3980
2008-01-06 14:08 . 2008-01-06 14:08 0 -ra------ C:\WINDOWS\system32\TFTP272
2008-01-06 11:32 . 2008-01-06 11:32 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-01-06 11:32 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-06 11:32 . 2007-12-17 13:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-01-06 11:31 . 2008-01-06 11:31 <DIR> d-------- C:\NVIDIA
2008-01-06 11:03 . 2008-01-08 13:03 <DIR> d-------- C:\Programme\Steam
2008-01-06 10:57 . 2008-01-06 10:58 <DIR> d-------- C:\Programme\ICQLite
2008-01-06 10:57 . 2008-01-06 10:57 <DIR> d-------- C:\Program Files
2008-01-06 10:57 . 2008-01-06 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\PADDY\Anwendungsdaten\ICQLite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 18:35 --------- d-----w C:\Programme\Trend Micro
2008-01-06 10:32 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-05 19:19 --------- d-----w C:\Programme\Opera
2008-01-05 19:16 --------- d-----w C:\Programme\Avira
2008-01-05 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-05 19:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 19:04 --------- d-----w C:\Programme\ANI
2008-01-05 19:03 --------- d-----w C:\Programme\D-Link
2008-01-05 18:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-05 18:49 --------- d-----w C:\Dokumente und Einstellungen\PADDY\Anwendungsdaten\InterTrust
2008-01-05 18:47 --------- d-----w C:\Programme\C-Media 3D Audio
2008-01-05 18:46 --------- d-----w C:\Programme\SiSLan
2008-01-05 18:42 --------- d-----w C:\Programme\microsoft frontpage
2008-01-05 18:40 --------- d-----w C:\Programme\Online-Dienste
2008-01-05 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-05 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-05 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-05 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-01-06 11:12 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 10:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"Gainward"="C:\WINDOWS\TBPanel.exe" [2004-02-11 07:49 2015232]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 10:42 1519616]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 17:49 49152]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-06 10:45 249896]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Windows Logon Application"="C:\WINDOWS\System32\winIogon.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 13:00 13312]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]

*Newly Created Service* - PROCEXP90
*Newly Created Service* - WINIO
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 13:23:07
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 13:23:23
ComboFix-quarantined-files.txt 2008-01-08 12:23:16

#6 ICH1992

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"=-

File::
C:\WINDOWS\system32\TFTP2372
C:\WINDOWS\system32\TFTP1044
C:\WINDOWS\system32\TFTP3132
C:\WINDOWS\system32\o
C:\WINDOWS\system32\TFTP1732
C:\WINDOWS\system32\dmfeif.exe
C:\WINDOWS\system32\TFTP1716
C:\WINDOWS\system32\TFTP3980
C:\WINDOWS\system32\TFTP272

mit der rechten Maustaste auf das Symbol von Combofix ziehen



wende die Combofix erneut an - tippe 1
poste das neue Log, was erscheint
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 ComboFix 08-01-07.5 - PADDY 2008-01-08 13:31:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.301 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\PADDY\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\PADDY\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\dmfeif.exe
C:\WINDOWS\system32\o
C:\WINDOWS\system32\TFTP1044
C:\WINDOWS\system32\TFTP1716
C:\WINDOWS\system32\TFTP1732
C:\WINDOWS\system32\TFTP2372
C:\WINDOWS\system32\TFTP272
C:\WINDOWS\system32\TFTP3132
C:\WINDOWS\system32\TFTP3980
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dmfeif.exe
C:\WINDOWS\system32\o
C:\WINDOWS\system32\TFTP1044
C:\WINDOWS\system32\TFTP1716
C:\WINDOWS\system32\TFTP1732
C:\WINDOWS\system32\TFTP2372
C:\WINDOWS\system32\TFTP272
C:\WINDOWS\system32\TFTP3132
C:\WINDOWS\system32\TFTP3980

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 ))))))))))))))))))))))))))))))
.

2008-01-08 13:22 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 13:07 . 2008-01-08 13:07 <DIR> d-------- C:\Programme\PowerArchiver
2008-01-08 12:29 . 2008-01-08 12:29 <DIR> d-------- C:\Temp
2008-01-06 11:32 . 2008-01-06 11:32 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-01-06 11:32 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-06 11:32 . 2007-12-17 13:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-01-06 11:31 . 2008-01-06 11:31 <DIR> d-------- C:\NVIDIA
2008-01-06 11:03 . 2008-01-08 13:03 <DIR> d-------- C:\Programme\Steam
2008-01-06 10:57 . 2008-01-06 10:58 <DIR> d-------- C:\Programme\ICQLite
2008-01-06 10:57 . 2008-01-06 10:57 <DIR> d-------- C:\Program Files
2008-01-06 10:57 . 2008-01-06 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\PADDY\Anwendungsdaten\ICQLite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 18:35 --------- d-----w C:\Programme\Trend Micro
2008-01-06 10:32 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-05 19:19 --------- d-----w C:\Programme\Opera
2008-01-05 19:16 --------- d-----w C:\Programme\Avira
2008-01-05 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-05 19:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 19:04 --------- d-----w C:\Programme\ANI
2008-01-05 19:03 --------- d-----w C:\Programme\D-Link
2008-01-05 18:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-05 18:49 --------- d-----w C:\Dokumente und Einstellungen\PADDY\Anwendungsdaten\InterTrust
2008-01-05 18:47 --------- d-----w C:\Programme\C-Media 3D Audio
2008-01-05 18:46 --------- d-----w C:\Programme\SiSLan
2008-01-05 18:42 --------- d-----w C:\Programme\microsoft frontpage
2008-01-05 18:40 --------- d-----w C:\Programme\Online-Dienste
2008-01-05 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-05 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-05 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-05 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-01-06 11:12 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 10:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"Gainward"="C:\WINDOWS\TBPanel.exe" [2004-02-11 07:49 2015232]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 10:42 1519616]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 17:49 49152]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-06 10:45 249896]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 13:00 13312]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]

*Newly Created Service* - PROCEXP90
*Newly Created Service* - WINIO
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 13:31:49
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???
[???????????????[???[???[???
[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 13:32:05
ComboFix-quarantined-files.txt 2008-01-08 12:31:58
ComboFix2.txt 2008-01-08 12:23:24

#8 ICH1992

wende sdfix im abgesicherten modus an
http://www.virus-protect.org/artikel/tools/sdfix.html
poste den report hier

««««««««««««««««««««««

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 SDFix: Version 1.124

Run by PADDY on 08.01.2008 at 16:03

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\TFTP128 - Deleted
C:\WINDOWS\system32\TFTP1744 - Deleted
C:\WINDOWS\system32\TFTP240 - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 16:05:05
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 5 Jan 2008 2,048 A..H. --- "C:\WINDOWS\system32\svmrc.exe"

Finished!

#10 ICH1992

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

----------------------------------------------------------------------

http://www.virustotal.com/

kopiere die exe von hier aus ein , denn auf dem System wirst du sie nicht finden (ist versteckt )

C:\WINDOWS\system32\svmrc.exe

poste, was die Ueberpruefung ergibt

-------

klicke noch mal sdfix im normalmodus - waehle sophos, scanne mit option 6 und poste den report

reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen
http://virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 ServiceFilter.zip

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600
Jan 8, 2008 21:16:47


---> Begin Service Listing <---

Unknown Service # 1
Service Name: ANIWZCSdService
Display Name: ANIWZCSd Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Share Process
Path: c:\programme\ani\aniwzcs2 service\aniwzcsds.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: "c:\programme\avira\antivir personaledition classic\sched.exe"
State: Running
Process ID: 232
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: "c:\programme\avira\antivir personaledition classic\avguard.exe"
State: Running
Process ID: 1444
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{2d6c3e81-77f9-486a-8bd6-0e577c270645}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 81 Win32 services on this machine.
4 were unrecognized.

Script Execution Time: 0,65625 seconds.



www.virustotal.com

Datei svmrc.exe empfangen 2008.01.08 21:19:30 (CET)
Status: Beendet
Ergebnis: 1/32 (3.13%)
Filter
AhnLab-V3 2008.1.9.10 2008.01.08 -
AntiVir 7.6.0.46 2008.01.08 -
Authentium 4.93.8 2008.01.07 -
Avast 4.7.1098.0 2008.01.08 -
AVG 7.5.0.516 2008.01.08 -
BitDefender 7.2 2008.01.08 -
CAT-QuickHeal 9.00 2008.01.07 -
ClamAV 0.91.2 2008.01.08 -
DrWeb 4.44.0.09170 2008.01.08 -
eSafe 7.0.15.0 2008.01.08 -
eTrust-Vet 31.3.5441 2008.01.08 -
Ewido 4.0 2008.01.08 -
FileAdvisor 1 2008.01.08 -
Fortinet 3.14.0.0 2008.01.08 -
F-Prot 4.4.2.54 2008.01.07 -
F-Secure 6.70.13030.0 2008.01.08 -
Ikarus T3.1.1.20 2008.01.08 -
Kaspersky 7.0.0.125 2008.01.08 -
McAfee 5202 2008.01.08 -
Microsoft 1.3109 2008.01.08 -
NOD32v2 2775 2008.01.08 -
Norman 5.80.02 2008.01.08 -
Panda 9.0.0.4 2008.01.08 -
Prevx1 V2 2008.01.08 -
Rising 20.26.12.00 2008.01.08 -
Sophos 4.24.0 2008.01.08 -
Sunbelt 2.2.907.0 2008.01.08 -
Symantec 10 2008.01.08 -
TheHacker 6.2.9.183 2008.01.07 -
VBA32 3.12.2.5 2008.01.07 -
VirusBuster 4.3.26:9 2008.01.08 -
Webwasher-Gateway 6.6.2 2008.01.08 Win32.Malware.dam (suspicious)
weitere Informationen
File size: 2048 bytes
MD5: ee7c1651a1b97aff852c703b57784fa9
SHA1: 018d843078153c36c9bbe5f6a9dbbe715538ee29
PEiD: -
packers: PE_Patch


klicke noch mal sdfix


Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332435 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 21:30:19, System date 08 January 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Could not open C:\System Volume Information\_restore{A0335BC0-D241-4CF9-9008-CF29136FB86E}\RP13\A0002284.exe
Could not open C:\System Volume Information\_restore{A0335BC0-D241-4CF9-9008-CF29136FB86E}\RP15\A0005340.exe
Could not open F:\stealor\1337\server.exe
Could not open F:\stealor\1337\Universal1337 V2.exe
Could not open F:\stealor\steam stealor\1337_SteamACC_Stealer_Private\1337_SteamACC_Stealer_Private\1337 SteamACC Stealer Private.exe
Could not open F:\stealor\steam stealor\1337_SteamACC_Stealer_Private\1337_SteamACC_Stealer_Private\server.exe
Could not open F:\System Volume Information\_restore{53FC7A5C-915F-433F-B944-CD45853554CA}\RP68\A0058560.exe
Could not open F:\System Volume Information\_restore{53FC7A5C-915F-433F-B944-CD45853554CA}\RP71\A0063737.exe
Could not open F:\System Volume Information\_restore{A0335BC0-D241-4CF9-9008-CF29136FB86E}\RP15\A0005437.exe
Could not open F:\System Volume Information\_restore{A0335BC0-D241-4CF9-9008-CF29136FB86E}\RP15\A0005438.exe
Could not open F:\System Volume Information\_restore{A0335BC0-D241-4CF9-9008-CF29136FB86E}\RP15\A0005439.exe
Could not open F:\System Volume Information\_restore{A0335BC0-D241-4CF9-9008-CF29136FB86E}\RP15\A0005440.exe

4 boot sectors swept.
20048 files swept in 18 minutes and 49 seconds.
12 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.

#12 ICH1992

««
lade die exe noch mal hoch (siehe oben: submit file)
http://www.norman.com/microsites/nsic/

C:\WINDOWS\system32\svmrc.exe

------------------------
««
kopiere alles zwischen ---cut--- in notepad oder den Windowseditor und speichere es (nur text) im Windowsordner unter test25.bat ab, starte im abgesicherten Modus und starte diese Bat Datei. Du wirst nach einem neustart einen Ordner test25 in deinem C Laufwerk finden. (bitte den Inhalt der Textdatei abkopieren und im Forum posten)

Zitat

---cut---
md c:\test25
dir c:\windows\*.* /a:s /od >c:\test25\system.txt
dir c:\windows\*.* /a:h /od >c:\test25\hidden.txt
dir c:\windows\*.* /a:r /od >c:\test25\read.txt
dir c:\windows\system32\*.* /a:s /od >c:\test25\system32.txt
dir c:\windows\system32\*.* /a:h /od >c:\test25\hidden32.txt
dir c:\windows\system32\*.* /a:r /od >c:\test25\read32.txt
dir c:\windows\system32\drivers\*.* /od
---cut---

------------------------


«««
Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

Zitat

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\inf\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit

3. Speichere die Datei als findtheother.bat auf dem Desktop
4. Doppel klick auf diese Datei findtheother.bat ((abkopieren und posten)

--------------------------

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\htpatch*.*" > c:\find.txt & start notepad c:\find.txt

Zitat

dir /s /a "c:\svmrc*.*" > c:\find.txt & start notepad c:\find.txt

poste, was im Editor erscheint


'
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 ich verstehe das mit der .exe hochladen nich wo muss ch da was hochladen?

danke

#14 submit file -
http://www.norman.com/microsites/nsic/Submit/de

dort musst du deine mail angeben und kopierst in das fenster: (file name)

C:\WINDOWS\system32\svmrc.exe
-------

spaeter bekommst du per mail die Antwort.
Inzwischen arbeite alles weitere ab, was ich geschrieben hatte
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 zu 2.:

ich bekomme da keinen ordner ich kann die datei ausführen im abgesicherten morus. wenn ich dann wieder normal starte kommt immer dass in 3 .exe dateien ein fehler aufgetreten ist und diese nun geschlossen werden aber ich habe keinen ordner.

gruß



zu 3.:

************************************
**These are the hidden files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CDC-9F14

Verzeichnis von C:\WINDOWS\inf


Verzeichnis von C:\WINDOWS\inf

10.01.2008 19:59 <DIR> .
10.01.2008 19:59 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 25.555.820.544 Bytes frei
**These are the system files found**
************************************
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CDC-9F14

Verzeichnis von C:\WINDOWS\inf


zu 3.:

a) Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CDC-9F14


b) Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CDC-9F14