Verdacht auf Trojaner - EScan und HiJack Log

#0
31.01.2008, 18:48
...neu hier

Beiträge: 7
#1 Hi!
Ich muss zugeben, was Trojaner und Viren angeht hab ich eigentlich keine Erfahrung. Aber das ist, was mir letztens passierte:
Am Freitag bekam ich zuerst eine Meldung von meiner Firewall (Tiny Personall Firewall 2005), dass jemand versuche, meine Ports zu scanen. Danach meldete Tiny, dass sich die MD5 Summen der Shell (ich nutze normalerweise LiteStep) und von Avast Antivirus geändert hätten. Danach ist der Computer abgestürzt. Ich hab ihn dann neu gestartet und er lief einwandfrei. Koscher erschien mir das aber nicht.
Darauf hin hab ich LiteStep und Avast deinstalliert. Schließlich diverse AV Progs installiert, allerdings immer nur Trials (Kapersky und Bitdefender, wobei Bitdefender einmal normal, einmal im abgesicherten Modus lief), außerdem AdAware und SpyBot, allerdings wurde nichts gefunden.
Jetzt hab ich nach den Anleitungen hier im Board einen EScan und einen HiJackThis Scan durchgeführt, bin allerdings ein bisschen berfordert mit der Auswertung, vor allem weil ich gehört habe, dass EScan angeblich Fehlmeldungen plaztieren soll, damit man sich die Originalversion kauft.

Hier also jetzt die Logs. Es wäre nett, wenn jemand, der Ahnung davon hat, drüber guckt und ein kurzes Feedback gibt. Danke schonmal im vorraus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.6.8
Sprache: German
Virus-Datenbank Datum: 1/29/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\cur rentversion\explorer\alwaysunloaddll)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\curr entversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire\.Networ kShare\Incomplete\T-4379440-LimeWireWin4.12.6-nopack.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\RevertC ache\1\C_\Dokumente und Einstellungen\***\Eigene Dateien\My Widgets\Desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Eigene Programme\Internet\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
File C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\RevertC ache\1\D_\Installationsdateien\Internet\Websites\a ceftp3free.exe//data0007//data0159 markiert als "not-a-virus:AdWare.Win32.MegaSearch.n". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Installationsdateien\Hardware\radmin\RADMIN22.E XE//raddrv.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei D:\Installationsdateien\Internet\Instant Massenger\mirc\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\mathe\texniccenter\mikte x 2.5\miktex on the web\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\mathe\texniccenter\mikte x 2.5\miktex on the web\support.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\system32\RSWIcon.icl nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Installer\MSI14.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Installer\MSI2A.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Installer\MSI37.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Installer\MSI45.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\RSWIcon.icl nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Installationsdateien\Spiele\Patches\SWKotOR1_03 .exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Installationsdateien\Systemprogramme\Brenner\ra tDVDSetup-0.78.1444.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 383087
Gefundene Viren: 20
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 140
Dauer des Scans bisher: 05:13:25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:42:25,76
Batchende: 16:42:53,60

__________________________________________________ ____________________

Nun noch der HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:43:45, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Ben Hur\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavili on&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**ps://www.printme.com/support/adobe/index.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\Internet\SICHER~1\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [SmcService] C:\EIGENE~1\Internet\SICHER~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [vmware-tray] C:\Eigene Programme\vmware\vmware-tray.exe
O4 - HKLM\..\Run: [avast!] C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\EIGENE~1\uni\visio\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\EIGENE~1\uni\OFFICE\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\EIGENE~1\Internet\icq\icq\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\EIGENE~1\Internet\icq\icq\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\EIGENE~1\uni\OFFICE\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavili on&pf=laptop
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196243695272
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Eigene Programme\Internet\Sicherheit\adaware\aawservice.e xe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Eigene Programme\Internet\Sicherheit\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Eigene Programme\Internet\Sicherheit\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Eigene Programme\Internet\Sicherheit\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Eigene Programme\Internet\Sicherheit\avast\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Eigene Programme\Internet\Sicherheit\sygatefirewall\smc.e xe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Eigene Programme\vmware\vmware-ufad.exe" -d "C:\Eigene Programme\vmware\\" -s ufad-p2v.xml (file missing)
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgen t.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Tiny Software, Inc. - C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxFwHl p.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
Seitenanfang Seitenende
01.02.2008, 13:17
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo,
wende bitte Combofix an + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 14:55
...neu hier

Themenstarter

Beiträge: 7
#3 OK, hier der Report. Drei Sachen im Vorraus:
Aufgrund des Vorkommnisse habe ich natürlich in den letzten Tagen viel Installiert (Kapersky, FSecure, Bitdefender, ASquare und Neuinstallation von Avast, Opera, Litestep), zudem ist während des Neustartes durch ComboFix mein Virusscanner wieder angesprungen. Ich hoffe, das verfälscht den Report nicht. Und zu guter Letzt: Vielen Dank schon mal im Vorraus.

Hier also der Report:

ComboFix 08-02.01.6 - Ben Hur 2008-02-01 14:36:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1335 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ben Hur\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

----- BITS: Possible infected sites -----

hxxp://au.download.windowsupdate.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-02-01 14:30 . 2004-08-04 13:00 262,448 -r-hs---- C:\cmldr
2008-02-01 14:30 . 2007-12-30 17:46 527 --ahs---- C:\BOOT.BAK
2008-01-30 22:23 . 2008-02-01 14:42 365,013 --a------ C:\WINDOWS\system32\drivers\Ids_cfg.dat
2008-01-30 22:21 . 2008-02-01 14:39 22,938 --a------ C:\WINDOWS\system32\drivers\kmxcfg.u2k
2008-01-30 21:18 . 2008-01-30 21:38 <DIR> d-------- C:\LiteStep
2008-01-30 19:23 . 2008-01-30 19:23 <DIR> d-------- C:\Programme\Panda Security
2008-01-30 18:50 . 2008-01-30 20:28 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-30 18:50 . 2008-01-30 19:40 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-30 18:50 . 2008-01-30 19:41 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-30 18:50 . 2008-01-30 19:40 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-30 11:55 . 2008-01-30 11:55 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-30 11:55 . 2008-01-30 11:55 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-30 11:55 . 2008-01-30 11:55 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-30 11:55 . 2008-01-30 11:55 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-30 11:55 . 2008-01-30 11:55 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-30 11:55 . 2008-01-30 11:55 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-29 23:13 . 2004-08-04 09:00 153,600 --a------ C:\WINDOWS\R.COM
2008-01-29 23:13 . 2004-08-04 09:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-01-29 23:13 . 2008-01-30 11:24 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-29 20:55 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-29 20:55 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-29 20:55 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-29 20:55 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-29 20:55 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-29 20:55 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-29 20:55 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-29 20:55 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-27 18:25 . 2008-01-27 18:25 268 --ah----- C:\sqmdata05.sqm
2008-01-27 18:25 . 2008-01-27 18:25 244 --ah----- C:\sqmnoopt05.sqm
2008-01-27 16:31 . 2008-01-27 16:31 268 --ah----- C:\sqmdata04.sqm
2008-01-27 16:31 . 2008-01-27 16:31 244 --ah----- C:\sqmnoopt04.sqm
2008-01-26 21:53 . 2008-01-26 21:53 2,420 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-26 21:17 . 2008-01-26 21:17 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-01-25 21:46 . 2008-01-25 21:46 268 --ah----- C:\sqmdata03.sqm
2008-01-25 21:46 . 2008-01-25 21:46 244 --ah----- C:\sqmnoopt03.sqm
2008-01-25 00:15 . 2008-01-25 00:15 268 --ah----- C:\sqmdata02.sqm
2008-01-25 00:15 . 2008-01-25 00:15 244 --ah----- C:\sqmnoopt02.sqm
2008-01-24 23:49 . 2008-01-24 23:49 268 --ah----- C:\sqmdata01.sqm
2008-01-24 23:49 . 2008-01-24 23:49 244 --ah----- C:\sqmnoopt01.sqm
2008-01-24 22:45 . 2008-01-27 18:15 121 --a------ C:\WINDOWS\bdagent.INI
2008-01-24 22:43 . 2008-01-27 18:13 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-01-24 22:40 . 2008-01-31 17:00 <DIR> d-------- C:\Eigene Dateien
2008-01-24 22:37 . 2008-01-24 22:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-01-24 22:06 . 2008-01-24 22:06 268 --ah----- C:\sqmdata00.sqm
2008-01-24 22:06 . 2008-01-24 22:06 244 --ah----- C:\sqmnoopt00.sqm
2008-01-08 22:01 . 2008-01-08 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Template
2008-01-06 18:15 . 2008-01-06 18:15 48,167 --a------ C:\WINDOWS\system32\uninst.exe
2008-01-06 17:42 . 2001-08-17 12:19 96,256 --a------ C:\WINDOWS\system32\drivers\ctlsb16.sys
2008-01-06 17:42 . 2001-08-17 12:19 96,256 --a------ C:\WINDOWS\system32\dllcache\ctlsb16.sys
2008-01-04 23:52 . 2007-10-08 09:26 50,992 -ra------ C:\WINDOWS\system32\vmnetbridge.dll
2008-01-04 23:41 . 2008-01-04 23:41 <DIR> d-------- C:\Programme\VMware
2008-01-04 23:41 . 2008-01-04 23:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\VMware

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-01 13:33 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Skype
2008-01-31 23:33 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\uTorrent
2008-01-30 21:48 12,288 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys
2008-01-30 19:19 --------- d-----w C:\Programme\Gemeinsame Dateien\PFShared
2008-01-30 18:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-01-30 17:18 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\VMware
2008-01-30 10:15 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Free Download Manager
2008-01-26 21:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-26 18:39 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\OpenOffice.org2
2008-01-16 12:51 462 ----a-w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\wklnhst.dat
2008-01-13 14:19 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Azureus
2008-01-09 16:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-01-09 16:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 00:24 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-01-04 18:39 --------- d-----w C:\Programme\vmntoolbar
2008-01-04 17:50 --------- d-----w C:\Programme\uTorrent
2007-12-24 21:17 --------- d-----w C:\Programme\Gemeinsame Dateien\snpstd3
2007-12-24 21:16 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\InstallShield
2006-02-21 23:13 893 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-18 14:12 843776]
"SmcService"="C:\EIGENE~1\Internet\SICHER~1\SYGATE~1\smc.exe" [2004-02-24 15:35 2372760]
"avast!"="C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"="C:\\LiteStep\\litestep.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PFW]
UmxWnp.Dll 2004-04-14 06:02 73793 C:\WINDOWS\system32\UmxWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=UmxSbxExw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"usnjsvc"=3 (0x3)
"UmxLU"=3 (0x3)
"TUWinStylerThemeSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"matlabserver"=3 (0x3)
"LightScribeService"=3 (0x3)
"CVPND"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=3 (0x3)
"a2free"=3 (0x3)
"O&O Defrag"=3 (0x3)
"helpsvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"ERSvc"=3 (0x3)
"hpqwmi"=3 (0x3)
"Ati HotKey Poller"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TuneUp MemOptimizer"="C:\Eigene Programme\tuneup\MemOptimizer.exe" autostart
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"TrueCrypt"="C:\Eigene Programme\truecrypt\TrueCrypt.exe" /q preferences
"SpybotSD TeaTimer"=C:\Eigene Programme\Internet\Sicherheit\Spybot\TeaTimer.exe
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"AMonitor"=C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\amon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cpqset"=C:\Programme\HPQ\Default Settings\cpqset.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"HP Software Update"=C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"EM_EXEC"=C:\EIGENE~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"hpWirelessAssistant"=C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"DAEMON Tools"="C:\Eigene Programme\DAEMON Tools\daemon.exe" -lang 1033
"<NO NAME>"=
"eabconfg.cpl"=C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"tsnpstd3"=C:\WINDOWS\tsnpstd3.exe
"vmware-tray"=C:\Eigene Programme\vmware\vmware-tray.exe

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-06-21 12:39]
R0 KmxNdis;KmxNdis;C:\WINDOWS\system32\DRIVERS\kmxndis.sys [2005-05-05 17:40]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 13:44]
R1 KmxAgent;KmxAgent;C:\WINDOWS\system32\DRIVERS\kmxagent.sys [2005-05-11 13:52]
R1 KmxFile;KmxFile;C:\WINDOWS\system32\DRIVERS\KmxFile.sys [2005-05-11 13:57]
R1 KmxFw;KmxFw;C:\WINDOWS\system32\DRIVERS\kmxfw.sys [2005-05-12 16:41]
R1 KmxIds;KmxIds;C:\WINDOWS\system32\DRIVERS\kmxids.sys [2005-05-05 17:43]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 13:45]
R2 KmxBiG;KmxBiG;C:\WINDOWS\system32\DRIVERS\KmxBiG.sys [2005-05-11 14:07]
R2 KmxSbx;KmxSbx;C:\WINDOWS\system32\DRIVERS\KmxSbx.sys [2005-05-11 14:03]
R2 UmxAgent;FW Event Manager;"C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgent.exe" [2005-04-13 11:51]
R2 UmxCfg;FW Configuration Interpreter;"C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe" [2005-05-11 14:15]
R2 UmxPol;FW Policy Manager;"C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe" [2004-09-21 15:58]
R2 vstor2-ws60;Vstor2 WS60 Virtual Storage Driver;C:\Eigene Programme\vmware\vstor2-ws60.sys [2007-08-07 12:33]
R3 KmxCfg;KmxCfg;C:\WINDOWS\system32\DRIVERS\kmxcfg.sys [2005-05-03 23:11]
S3 ctlsb16;Creative SB16/AWE32/AWE64-Treiber (WDM);C:\WINDOWS\system32\drivers\ctlsb16.sys [2001-08-17 12:19]
S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-11-01 04:01]
S3 MS1000;MS1000;C:\WINDOWS\system32\DRIVERS\MS1000.sys [2008-01-26 21:17]
S3 nhcNT_driver;Notebook Hardware Control NT Driver;C:\WINDOWS\system32\drivers\nhcNT.sys [2006-03-14 18:23]
S3 ufad-ws60;VMware Agent Service;"C:\Eigene Programme\vmware\vmware-ufad.exe" -d "C:\Eigene Programme\vmware\\" []
S4 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;C:\DOKUME~1\BENHUR~1\Desktop\vpnc\INSTAL~1.EXE []
S4 UmxLU;FW Live Update;"C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe" [2005-03-09 16:02]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 14:42:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Eigene Programme\Internet\Sicherheit\sygatefirewall\smc.exe
C:\Eigene Programme\Internet\Sicherheit\avast\aswUpdSv.exe
C:\Eigene Programme\Internet\Sicherheit\avast\ashServ.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxFwHlp.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgent.exe
C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxTray.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\LiteStep\litestep.exe
C:\WINDOWS\vsnpstd3.exe
C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 14:48:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-01 13:48:37
.
2008-01-29 21:13:09 --- E O F ---
Seitenanfang Seitenende
01.02.2008, 15:04
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 «««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Folder::
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

File::
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
C:\WINDOWS\Lic.xxx

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

poste das neue log von combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 15:41
...neu hier

Themenstarter

Beiträge: 7
#5 OK, alles erledigt. Hier das neue Log:

ComboFix 08-02.01.6 - Ben Hur 2008-02-01 15:28:46.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1433 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ben Hur\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ben Hur\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\Lic.xxx
C:\WINDOWS\logo1_.exe
C:\WINDOWS\R.COM
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\T.COM
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\zts2.exe

----- BITS: Possible infected sites -----

Code

hxxp://au.download.windowsupdate.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-02-01 14:30 . 2004-08-04 13:00 262,448 -r-hs---- C:\cmldr
2008-02-01 14:30 . 2007-12-30 17:46 527 --ahs---- C:\BOOT.BAK
2008-01-30 22:23 . 2008-02-01 15:33 365,013 --a------ C:\WINDOWS\system32\drivers\Ids_cfg.dat
2008-01-30 22:21 . 2008-02-01 15:30 137,600 --a------ C:\WINDOWS\system32\drivers\kmxcfg.u2k
2008-01-30 21:18 . 2008-01-30 21:38 <DIR> d-------- C:\LiteStep
2008-01-30 19:23 . 2008-01-30 19:23 <DIR> d-------- C:\Programme\Panda Security
2008-01-30 18:50 . 2008-01-30 20:28 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-30 18:50 . 2008-01-30 19:40 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-30 18:50 . 2008-01-30 19:41 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-30 18:50 . 2008-01-30 19:40 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-29 20:55 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-29 20:55 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-29 20:55 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-29 20:55 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-29 20:55 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-29 20:55 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-29 20:55 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-29 20:55 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-27 18:25 . 2008-01-27 18:25 268 --ah----- C:\sqmdata05.sqm
2008-01-27 18:25 . 2008-01-27 18:25 244 --ah----- C:\sqmnoopt05.sqm
2008-01-27 16:31 . 2008-01-27 16:31 268 --ah----- C:\sqmdata04.sqm
2008-01-27 16:31 . 2008-01-27 16:31 244 --ah----- C:\sqmnoopt04.sqm
2008-01-26 21:53 . 2008-01-26 21:53 2,420 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-26 21:17 . 2008-01-26 21:17 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-01-25 21:46 . 2008-01-25 21:46 268 --ah----- C:\sqmdata03.sqm
2008-01-25 21:46 . 2008-01-25 21:46 244 --ah----- C:\sqmnoopt03.sqm
2008-01-25 00:15 . 2008-01-25 00:15 268 --ah----- C:\sqmdata02.sqm
2008-01-25 00:15 . 2008-01-25 00:15 244 --ah----- C:\sqmnoopt02.sqm
2008-01-24 23:49 . 2008-01-24 23:49 268 --ah----- C:\sqmdata01.sqm
2008-01-24 23:49 . 2008-01-24 23:49 244 --ah----- C:\sqmnoopt01.sqm
2008-01-24 22:45 . 2008-01-27 18:15 121 --a------ C:\WINDOWS\bdagent.INI
2008-01-24 22:43 . 2008-01-27 18:13 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-01-24 22:40 . 2008-01-31 17:00 <DIR> d-------- C:\Eigene Dateien
2008-01-24 22:37 . 2008-01-24 22:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-01-24 22:06 . 2008-01-24 22:06 268 --ah----- C:\sqmdata00.sqm
2008-01-24 22:06 . 2008-01-24 22:06 244 --ah----- C:\sqmnoopt00.sqm
2008-01-08 22:01 . 2008-01-08 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Template
2008-01-06 18:15 . 2008-01-06 18:15 48,167 --a------ C:\WINDOWS\system32\uninst.exe
2008-01-06 17:42 . 2001-08-17 12:19 96,256 --a------ C:\WINDOWS\system32\drivers\ctlsb16.sys
2008-01-06 17:42 . 2001-08-17 12:19 96,256 --a------ C:\WINDOWS\system32\dllcache\ctlsb16.sys
2008-01-04 23:52 . 2007-10-08 09:26 50,992 -ra------ C:\WINDOWS\system32\vmnetbridge.dll
2008-01-04 23:41 . 2008-01-04 23:41 <DIR> d-------- C:\Programme\VMware
2008-01-04 23:41 . 2008-01-04 23:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\VMware

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-01 14:24 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\uTorrent
2008-02-01 14:24 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Skype
2008-01-30 21:48 12,288 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys
2008-01-30 19:19 --------- d-----w C:\Programme\Gemeinsame Dateien\PFShared
2008-01-30 18:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-01-30 17:18 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\VMware
2008-01-30 10:15 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Free Download Manager
2008-01-26 21:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-26 18:39 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\OpenOffice.org2
2008-01-16 12:51 462 ----a-w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\wklnhst.dat
2008-01-13 14:19 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Azureus
2008-01-09 16:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-01-09 16:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 00:24 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-01-04 18:39 --------- d-----w C:\Programme\vmntoolbar
2008-01-04 17:50 --------- d-----w C:\Programme\uTorrent
2007-12-24 21:17 --------- d-----w C:\Programme\Gemeinsame Dateien\snpstd3
2007-12-24 21:16 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\InstallShield
2006-02-21 23:13 893 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-18 14:12 843776]
"SmcService"="C:\EIGENE~1\Internet\SICHER~1\SYGATE~1\smc.exe" [2004-02-24 15:35 2372760]
"avast!"="C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"="C:\\LiteStep\\litestep.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PFW]
UmxWnp.Dll 2004-04-14 06:02 73793 C:\WINDOWS\system32\UmxWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=UmxSbxExw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"usnjsvc"=3 (0x3)
"UmxLU"=3 (0x3)
"TUWinStylerThemeSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"matlabserver"=3 (0x3)
"LightScribeService"=3 (0x3)
"CVPND"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=3 (0x3)
"a2free"=3 (0x3)
"O&O Defrag"=3 (0x3)
"helpsvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"ERSvc"=3 (0x3)
"hpqwmi"=3 (0x3)
"Ati HotKey Poller"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TuneUp MemOptimizer"="C:\Eigene Programme\tuneup\MemOptimizer.exe" autostart
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"TrueCrypt"="C:\Eigene Programme\truecrypt\TrueCrypt.exe" /q preferences
"SpybotSD TeaTimer"=C:\Eigene Programme\Internet\Sicherheit\Spybot\TeaTimer.exe
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"AMonitor"=C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\amon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cpqset"=C:\Programme\HPQ\Default Settings\cpqset.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"HP Software Update"=C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"EM_EXEC"=C:\EIGENE~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"hpWirelessAssistant"=C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"DAEMON Tools"="C:\Eigene Programme\DAEMON Tools\daemon.exe" -lang 1033
"<NO NAME>"=
"eabconfg.cpl"=C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"tsnpstd3"=C:\WINDOWS\tsnpstd3.exe
"vmware-tray"=C:\Eigene Programme\vmware\vmware-tray.exe

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-06-21 12:39]
R0 KmxNdis;KmxNdis;C:\WINDOWS\system32\DRIVERS\kmxndis.sys [2005-05-05 17:40]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 13:44]
R1 KmxAgent;KmxAgent;C:\WINDOWS\system32\DRIVERS\kmxagent.sys [2005-05-11 13:52]
R1 KmxFile;KmxFile;C:\WINDOWS\system32\DRIVERS\KmxFile.sys [2005-05-11 13:57]
R1 KmxFw;KmxFw;C:\WINDOWS\system32\DRIVERS\kmxfw.sys [2005-05-12 16:41]
R1 KmxIds;KmxIds;C:\WINDOWS\system32\DRIVERS\kmxids.sys [2005-05-05 17:43]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 13:45]
R2 KmxBiG;KmxBiG;C:\WINDOWS\system32\DRIVERS\KmxBiG.sys [2005-05-11 14:07]
R2 KmxSbx;KmxSbx;C:\WINDOWS\system32\DRIVERS\KmxSbx.sys [2005-05-11 14:03]
R2 UmxAgent;FW Event Manager;"C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgent.exe" [2005-04-13 11:51]
R2 UmxCfg;FW Configuration Interpreter;"C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe" [2005-05-11 14:15]
R2 UmxPol;FW Policy Manager;"C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe" [2004-09-21 15:58]
R2 vstor2-ws60;Vstor2 WS60 Virtual Storage Driver;C:\Eigene Programme\vmware\vstor2-ws60.sys [2007-08-07 12:33]
R3 KmxCfg;KmxCfg;C:\WINDOWS\system32\DRIVERS\kmxcfg.sys [2005-05-03 23:11]
S3 ctlsb16;Creative SB16/AWE32/AWE64-Treiber (WDM);C:\WINDOWS\system32\drivers\ctlsb16.sys [2001-08-17 12:19]
S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-11-01 04:01]
S3 MS1000;MS1000;C:\WINDOWS\system32\DRIVERS\MS1000.sys [2008-01-26 21:17]
S3 nhcNT_driver;Notebook Hardware Control NT Driver;C:\WINDOWS\system32\drivers\nhcNT.sys [2006-03-14 18:23]
S3 ufad-ws60;VMware Agent Service;"C:\Eigene Programme\vmware\vmware-ufad.exe" -d "C:\Eigene Programme\vmware\\" []
S4 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;C:\DOKUME~1\BENHUR~1\Desktop\vpnc\INSTAL~1.EXE []
S4 UmxLU;FW Live Update;"C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe" [2005-03-09 16:02]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 15:33:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Eigene Programme\Internet\Sicherheit\sygatefirewall\smc.exe
C:\Eigene Programme\Internet\Sicherheit\avast\aswUpdSv.exe
C:\Eigene Programme\Internet\Sicherheit\avast\ashServ.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxFwHlp.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgent.exe
C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxTray.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\LiteStep\litestep.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\vsnpstd3.exe
C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 15:39:22 - machine was rebooted [Ben Hur]
ComboFix-quarantined-files.txt 2008-02-01 14:39:18
ComboFix2.txt 2008-02-01 13:48:40
.
2008-01-29 21:13:09 --- E O F ---
Seitenanfang Seitenende
01.02.2008, 15:47
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 1.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

2.
CCl anwenden
http://virus-protect.org/CCleaner.html

3.
scanne mit bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 19:44
...neu hier

Themenstarter

Beiträge: 7
#7 OK, da der Log in HTML Format kam, hier jetzt als Text, nicht ganz so angenehm, ich weiß. Die Dateien, die er gefunden hat, waren nicht der rede wert und ich habe sie inzwischen gelöscht:

BitDefender Online Scanner -Scan Report


D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 1)
Detected with: Application.Cydoor.S

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 1)
Disinfection failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 1)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 13)
Detected with: Application.Topsearch.B

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 13)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 198)
Detected with: Adware.Altnet.K

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 198)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 199)
Detected with: Application.Brilliantdigital.B

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 199)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 201)
Detected with: Adware.BDE

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 201)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 203)=>bdedetect1.dll
Detected with: Adware.Brilliantdigital.1007.A

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 203)=>bdedetect1.dll
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 203)
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 203)=>bdeclean.exe
Detected with: Adware.Brilliantdigital.3022.A

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 203)=>bdeclean.exe
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 203)
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 204)
Detected with: Adware.Brilliantdigital.1100.A

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 204)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 205)
Detected with: Adware.Altnet.B

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 205)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 206)
Detected with: Adware.Brilliantdigital.C

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 206)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 207)=>(VISE Installer o)=>PgMonitr.exe
Detected with: Application.Delfin.Media.Viewer.B

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 207)=>(VISE Installer o)=>PgMonitr.exe
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 207)=>(VISE Installer o)
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 207)=>(VISE Installer o)=>PgSDK.DLL
Detected with: Application.Delfin.Media.Viewer.D

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 207)=>(VISE Installer o)=>PgSDK.DLL
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 207)=>(VISE Installer o)
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 208)
Infected with: Trojan.Downloader.3346.A

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 208)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 209)
Detected with: Application.Imesh.H

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 209)
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)=>SaveNow.exe
Detected with: Adware.Whenu.Savenow.AP

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)=>SaveNow.exe
Disinfection failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)=>SaveNow.exe
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)
Update failed

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)=>Uninst.exe
Detected with: Application.Under.Investigation.Kazaa.C

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)=>Uninst.exe
Deleted

D:\Installationsdateien\Internet\Filesharing\kmd202_de.exe=>(CAB Sfx o)=>\Disk1\data2.cab=>(IShield Module 210)=>(CAB Sfx r)
Update failed

K:\ISOs\OS\BOSSv112.iso=>boss/install/Fedora/nessus-server-2.3.1-0.boss.i386.rpm=>nessus-server-2.3.1-0.boss.gz=>(gzip)=>./usr/lib/nessus/plugins/smtp_AV_42zip_DoS.nasl=>(base64)
Infected with: Trojan.Arcbomb.ZIP

K:\ISOs\OS\BOSSv112.iso=>boss/install/Fedora/nessus-server-2.3.1-0.boss.i386.rpm=>nessus-server-2.3.1-0.boss.gz=>(gzip)=>./usr/lib/nessus/plugins/smtp_AV_42zip_DoS.nasl=>(base64)
Deleted

K:\ISOs\OS\BOSSv112.iso=>boss/install/Fedora/nessus-server-2.3.1-0.boss.i386.rpm=>nessus-server-2.3.1-0.boss.gz=>(gzip)=>./usr/lib/nessus/plugins/smtp_AV_42zip_DoS.nasl
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/Fedora/nessus-server-2.3.1-0.boss.i386.rpm=>nessus-server-2.3.1-0.boss.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/Fedora/nessus-server-2.3.1-0.boss.i386.rpm=>nessus-server-2.3.1-0.boss.gz
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/Fedora/nessus-server-2.3.1-0.boss.i386.rpm
Update failed

K:\ISOs\OS\BOSSv112.iso=>boss/install/SUSE/nessus-server-2.3.1-0.boss.i586.rpm=>nessus-server-2.3.1-0.boss.gz=>(bz2_data)=>./usr/lib/nessus/plugins/smtp_AV_42zip_DoS.nasl=>(base64)
Infected with: Trojan.Arcbomb.ZIP

K:\ISOs\OS\BOSSv112.iso=>boss/install/SUSE/nessus-server-2.3.1-0.boss.i586.rpm=>nessus-server-2.3.1-0.boss.gz=>(bz2_data)=>./usr/lib/nessus/plugins/smtp_AV_42zip_DoS.nasl=>(base64)
Deleted

K:\ISOs\OS\BOSSv112.iso=>boss/install/SUSE/nessus-server-2.3.1-0.boss.i586.rpm=>nessus-server-2.3.1-0.boss.gz=>(bz2_data)=>./usr/lib/nessus/plugins/smtp_AV_42zip_DoS.nasl
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/SUSE/nessus-server-2.3.1-0.boss.i586.rpm=>nessus-server-2.3.1-0.boss.gz=>(bz2_data)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/SUSE/nessus-server-2.3.1-0.boss.i586.rpm=>nessus-server-2.3.1-0.boss.gz
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/SUSE/nessus-server-2.3.1-0.boss.i586.rpm
Update failed

Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/Fedora/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/Fedora/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/Fedora/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/Fedora/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/Fedora/nessus-2.3.1-0.boss.src.rpm
Update failed

K:\ISOs\OS\BOSSv112.iso=>boss/src/nessus/nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)=>nessus-plugins-GPL-2.3.1/scripts/smtp_AV_42zip_DoS.nasl=>(base64)
Infected with: Trojan.Arcbomb.ZIP

K:\ISOs\OS\BOSSv112.iso=>boss/src/nessus/nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)=>nessus-plugins-GPL-2.3.1/scripts/smtp_AV_42zip_DoS.nasl=>(base64)
Deleted

K:\ISOs\OS\BOSSv112.iso=>boss/src/nessus/nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)=>nessus-plugins-GPL-2.3.1/scripts/smtp_AV_42zip_DoS.nasl
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/nessus/nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/nessus/nessus-plugins-GPL-2.3.1.tar.gz
Updated

K:\ISOs\OS\BOSSv112.iso
Update failed

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)=>nessus-plugins-GPL-2.3.1/scripts/smtp_AV_42zip_DoS.nasl=>(base64)
Infected with: Trojan.Arcbomb.ZIP

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)=>nessus-plugins-GPL-2.3.1/scripts/smtp_AV_42zip_DoS.nasl=>(base64)
Deleted

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)=>nessus-plugins-GPL-2.3.1/scripts/smtp_AV_42zip_DoS.nasl
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)=>nessus-plugins-GPL-2.3.1.tar.gz
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm=>nessus-2.3.1-0.boss.gz
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/src/SUSE/nessus-2.3.1-0.boss.src.rpm
Update failed

K:\ISOs\OS\BOSSv112.iso=>boss/install/Debian/dists/woody/boss/source/nessus-plugins_2.3.1-1.tar.gz=>(gzip)=>nessus-plugins-2.3.1/scripts/smtp_AV_42zip_DoS.nasl=>(base64)
Infected with: Trojan.Arcbomb.ZIP

K:\ISOs\OS\BOSSv112.iso=>boss/install/Debian/dists/woody/boss/source/nessus-plugins_2.3.1-1.tar.gz=>(gzip)=>nessus-plugins-2.3.1/scripts/smtp_AV_42zip_DoS.nasl=>(base64)
Deleted

K:\ISOs\OS\BOSSv112.iso=>boss/install/Debian/dists/woody/boss/source/nessus-plugins_2.3.1-1.tar.gz=>(gzip)=>nessus-plugins-2.3.1/scripts/smtp_AV_42zip_DoS.nasl
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/Debian/dists/woody/boss/source/nessus-plugins_2.3.1-1.tar.gz=>(gzip)
Updated

K:\ISOs\OS\BOSSv112.iso=>boss/install/Debian/dists/woody/boss/source/nessus-plugins_2.3.1-1.tar.gz
Updated

K:\ISOs\OS\BOSSv112.iso
Update failed
Dieser Beitrag wurde am 01.02.2008 um 20:22 Uhr von Invisible_Jim editiert.
Seitenanfang Seitenende
01.02.2008, 22:51
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo,
bis jetzt sieht es ganz gut aus ;)
lade bitte wieder combofix + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.02.2008, 11:10
...neu hier

Themenstarter

Beiträge: 7
#9 OK, hier der neue Log. Diesmal hat ComboFix den Rechner übrigens nicht neugestartet, im Gegensatz zu den ersten beiden malen:

ComboFix 08-02.02.5 - Ben Hur 2008-02-02 11:01:40.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1378 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ben Hur\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-02-01 16:01 . 2008-02-01 16:01 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-01 16:01 . 2008-02-01 19:04 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-02-01 14:30 . 2004-08-04 13:00 262,448 -r-hs---- C:\cmldr
2008-02-01 14:30 . 2007-12-30 17:46 527 --ahs---- C:\BOOT.BAK
2008-01-30 22:23 . 2008-02-01 15:33 365,013 --a------ C:\WINDOWS\system32\drivers\Ids_cfg.dat
2008-01-30 22:21 . 2008-02-01 15:30 137,600 --a------ C:\WINDOWS\system32\drivers\kmxcfg.u2k
2008-01-30 21:18 . 2008-01-30 21:38 <DIR> d-------- C:\LiteStep
2008-01-30 19:23 . 2008-01-30 19:23 <DIR> d-------- C:\Programme\Panda Security
2008-01-30 18:50 . 2008-01-30 20:28 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-30 18:50 . 2008-01-30 19:40 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-30 18:50 . 2008-01-30 19:41 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-30 18:50 . 2008-01-30 19:40 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-29 20:55 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-29 20:55 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-29 20:55 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-29 20:55 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-29 20:55 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-29 20:55 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-29 20:55 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-29 20:55 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-27 18:25 . 2008-01-27 18:25 268 --ah----- C:\sqmdata05.sqm
2008-01-27 18:25 . 2008-01-27 18:25 244 --ah----- C:\sqmnoopt05.sqm
2008-01-27 16:31 . 2008-01-27 16:31 268 --ah----- C:\sqmdata04.sqm
2008-01-27 16:31 . 2008-01-27 16:31 244 --ah----- C:\sqmnoopt04.sqm
2008-01-26 21:53 . 2008-01-26 21:53 2,420 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-26 21:17 . 2008-01-26 21:17 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-01-25 21:46 . 2008-01-25 21:46 268 --ah----- C:\sqmdata03.sqm
2008-01-25 21:46 . 2008-01-25 21:46 244 --ah----- C:\sqmnoopt03.sqm
2008-01-25 00:15 . 2008-01-25 00:15 268 --ah----- C:\sqmdata02.sqm
2008-01-25 00:15 . 2008-01-25 00:15 244 --ah----- C:\sqmnoopt02.sqm
2008-01-24 23:49 . 2008-01-24 23:49 268 --ah----- C:\sqmdata01.sqm
2008-01-24 23:49 . 2008-01-24 23:49 244 --ah----- C:\sqmnoopt01.sqm
2008-01-24 22:45 . 2008-01-27 18:15 121 --a------ C:\WINDOWS\bdagent.INI
2008-01-24 22:43 . 2008-01-27 18:13 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-01-24 22:40 . 2008-01-31 17:00 <DIR> d-------- C:\Eigene Dateien
2008-01-24 22:37 . 2008-01-24 22:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-01-24 22:06 . 2008-01-24 22:06 268 --ah----- C:\sqmdata00.sqm
2008-01-24 22:06 . 2008-01-24 22:06 244 --ah----- C:\sqmnoopt00.sqm
2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini
2008-01-08 22:01 . 2008-01-08 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Template
2008-01-06 18:15 . 2008-01-06 18:15 48,167 --a------ C:\WINDOWS\system32\uninst.exe
2008-01-06 17:42 . 2001-08-17 12:19 96,256 --a------ C:\WINDOWS\system32\drivers\ctlsb16.sys
2008-01-06 17:42 . 2001-08-17 12:19 96,256 --a------ C:\WINDOWS\system32\dllcache\ctlsb16.sys
2008-01-04 23:52 . 2007-10-08 09:26 50,992 -ra------ C:\WINDOWS\system32\vmnetbridge.dll
2008-01-04 23:41 . 2008-01-04 23:41 <DIR> d-------- C:\Programme\VMware
2008-01-04 23:41 . 2008-01-04 23:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\VMware

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 10:00 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\uTorrent
2008-02-01 14:24 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Skype
2008-01-30 21:48 12,288 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys
2008-01-30 19:19 --------- d-----w C:\Programme\Gemeinsame Dateien\PFShared
2008-01-30 18:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-01-30 17:18 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\VMware
2008-01-30 10:15 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Free Download Manager
2008-01-26 21:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-26 21:00 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-26 18:39 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\OpenOffice.org2
2008-01-16 12:51 462 ----a-w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\wklnhst.dat
2008-01-13 14:19 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\Azureus
2008-01-09 16:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-01-09 16:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 00:24 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-01-04 18:39 --------- d-----w C:\Programme\vmntoolbar
2008-01-04 17:50 --------- d-----w C:\Programme\uTorrent
2007-12-24 21:17 --------- d-----w C:\Programme\Gemeinsame Dateien\snpstd3
2007-12-24 21:16 --------- d-----w C:\Dokumente und Einstellungen\Ben Hur\Anwendungsdaten\InstallShield
2007-11-14 07:26 450,560 ------w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:49 734,720 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:49 734,720 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll
2006-04-15 11:58 28,186 ----a-w C:\WINDOWS\Internet Logs\cvpnd_2nd_2006_04_15_12_52_43_small.dmp.zip
2006-04-14 16:05 27,147 ----a-w C:\WINDOWS\Internet Logs\cvpnd_2nd_2006_04_14_00_29_08_small.dmp.zip
2006-04-13 22:10 28,565 ----a-w C:\WINDOWS\Internet Logs\cvpnd_2nd_2006_04_14_00_09_08_small.dmp.zip
2006-02-21 23:13 893 ----a-w C:\Programme\INSTALL.LOG
2006-02-17 21:42 42,268 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_02_16_17_55_51_small.dmp.zip
2006-02-17 21:42 40,613 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_02_16_17_55_39_small.dmp.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-18 14:12 843776]
"SmcService"="C:\EIGENE~1\Internet\SICHER~1\SYGATE~1\smc.exe" [2004-02-24 15:35 2372760]
"avast!"="C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"shell"="C:\\LiteStep\\litestep.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PFW]
UmxWnp.Dll 2004-04-14 06:02 73793 C:\WINDOWS\system32\UmxWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=UmxSbxExw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"usnjsvc"=3 (0x3)
"UmxLU"=3 (0x3)
"TUWinStylerThemeSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"matlabserver"=3 (0x3)
"LightScribeService"=3 (0x3)
"CVPND"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=3 (0x3)
"a2free"=3 (0x3)
"O&O Defrag"=3 (0x3)
"helpsvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"ERSvc"=3 (0x3)
"hpqwmi"=3 (0x3)
"Ati HotKey Poller"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TuneUp MemOptimizer"="C:\Eigene Programme\tuneup\MemOptimizer.exe" autostart
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"TrueCrypt"="C:\Eigene Programme\truecrypt\TrueCrypt.exe" /q preferences
"SpybotSD TeaTimer"=C:\Eigene Programme\Internet\Sicherheit\Spybot\TeaTimer.exe
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"AMonitor"=C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\amon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Cpqset"=C:\Programme\HPQ\Default Settings\cpqset.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"HP Software Update"=C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"EM_EXEC"=C:\EIGENE~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"hpWirelessAssistant"=C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"DAEMON Tools"="C:\Eigene Programme\DAEMON Tools\daemon.exe" -lang 1033
"<NO NAME>"=
"eabconfg.cpl"=C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"tsnpstd3"=C:\WINDOWS\tsnpstd3.exe
"vmware-tray"=C:\Eigene Programme\vmware\vmware-tray.exe

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-06-21 12:39]
R0 KmxNdis;KmxNdis;C:\WINDOWS\system32\DRIVERS\kmxndis.sys [2005-05-05 17:40]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 13:44]
R1 KmxAgent;KmxAgent;C:\WINDOWS\system32\DRIVERS\kmxagent.sys [2005-05-11 13:52]
R1 KmxFile;KmxFile;C:\WINDOWS\system32\DRIVERS\KmxFile.sys [2005-05-11 13:57]
R1 KmxFw;KmxFw;C:\WINDOWS\system32\DRIVERS\kmxfw.sys [2005-05-12 16:41]
R1 KmxIds;KmxIds;C:\WINDOWS\system32\DRIVERS\kmxids.sys [2005-05-05 17:43]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 13:45]
R2 KmxBiG;KmxBiG;C:\WINDOWS\system32\DRIVERS\KmxBiG.sys [2005-05-11 14:07]
R2 KmxSbx;KmxSbx;C:\WINDOWS\system32\DRIVERS\KmxSbx.sys [2005-05-11 14:03]
R2 UmxAgent;FW Event Manager;"C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgent.exe" [2005-04-13 11:51]
R2 UmxCfg;FW Configuration Interpreter;"C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe" [2005-05-11 14:15]
R2 UmxPol;FW Policy Manager;"C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe" [2004-09-21 15:58]
R2 vstor2-ws60;Vstor2 WS60 Virtual Storage Driver;C:\Eigene Programme\vmware\vstor2-ws60.sys [2007-08-07 12:33]
R3 KmxCfg;KmxCfg;C:\WINDOWS\system32\DRIVERS\kmxcfg.sys [2005-05-03 23:11]
S3 ctlsb16;Creative SB16/AWE32/AWE64-Treiber (WDM);C:\WINDOWS\system32\drivers\ctlsb16.sys [2001-08-17 12:19]
S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-11-01 04:01]
S3 MS1000;MS1000;C:\WINDOWS\system32\DRIVERS\MS1000.sys [2008-01-26 21:17]
S3 nhcNT_driver;Notebook Hardware Control NT Driver;C:\WINDOWS\system32\drivers\nhcNT.sys [2006-03-14 18:23]
S3 ufad-ws60;VMware Agent Service;"C:\Eigene Programme\vmware\vmware-ufad.exe" -d "C:\Eigene Programme\vmware\\" []
S4 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;C:\DOKUME~1\BENHUR~1\Desktop\vpnc\INSTAL~1.EXE []
S4 UmxLU;FW Live Update;"C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe" [2005-03-09 16:02]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 11:03:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-02 11:07:30
ComboFix2.txt 2008-02-01 14:39:22
.
2008-01-29 21:13:09 --- E O F ---
Seitenanfang Seitenende
02.02.2008, 12:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 zum Abschluss:

http://virus-protect.org/artikel/tools/sdfix.html
lade sdfix - im normalmodus - RunThis.bat doppelt klicken
schreibe: 3 rein, Sophos wird geladen - scanne mit option 6 - poste dann den scanreport

(deinstalliere eScan - war/ist wenig hilfreich, hat nur vorgespeichertes ausgegeben, die Viren jedoch nicht erkannt)
Arnold, der mit escan arbeitet war so erbost, dass er den Link von deinem Thread an escan mailen wird) ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.02.2008, 15:20
...neu hier

Themenstarter

Beiträge: 7
#11 OK, hier der Sophos Log:

Sophos Anti-Virus
Version 4.26.0 [Win32/Intel]
Virus data version 4.26E, February 2008
Includes detection for 345582 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, w**.sophos.com

System time 14:29:12, System date 02 February 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Full Scanning

Could not open C:\hiberfil.sys
>>> Virus fragment 'W95/Sledge-A' found in file C:\WINDOWS\system32\ActiveScan\pskavs.dll
Removal successful
Could not open C:\WINDOWS\system32\drivers\dtscsi.sys
Could not open C:\WINDOWS\system32\drivers\sptd.sys
>>> Virus 'Mal/Behav-164' found in file D:\Installationsdateien\Bro\mathe\***\Keymaker.exe
>>> Virus 'Mal/Behav-066' found in file D:\Installationsdateien\Bro\mathe\***\Keymaker.exe
Removal successful
>>> Virus 'Mal/Behav-164' found in file D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP5\A0000262.exe
>>> Virus 'Mal/Behav-066' found in file D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP5\A0000262.exe
Removal successful

4 boot sectors swept.
89879 files swept in 45 minutes and 59 seconds.
3 errors were encountered.
5 viruses were discovered.
3 files out of 89879 were infected.
Please send infected samples to Sophos for analysis.
For advice consult w**.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
02.02.2008, 18:41
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 nun, es sollte wieder alles i.o. sein ;)
bitte verweise mich nun nicht auf den escan.. dass der da noch was anzeigt.
Der Rechner IST wieder sauber ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.02.2008, 18:46
...neu hier

Themenstarter

Beiträge: 7
#13 Gut, das wollte ich hören.
Mit dem EScan hatte ich auch schon aus anderen Foren mitbekommen,
dass im Log viel Schrott angezeigt wird,
deswegen hab ich ja hier gepostet.
Zudem ich die angeblich infizierten Dateien soweiso nirgends finden konnte,
egal mit welchem Programm.
Auf jedenfall, vielen, vielen Dank für deine Hilfe,
auch wenn ich größtenteils in keinster Weise verstanden habe,
was ich eigentlich getan habe, bzw. was Du aus dem ComboFix Scan herausgelesen hast.
Aber muss ich auch nicht, ich bin froh, dass ich beruhigt weiter surfen kann.
Also, nochmasl vielen Dank und ein schönes Wochenende.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: