War das ein Trojaner ?

#16 Danke sehr!

Darf ich jetzt noch ganz blöd fragen, was sich denn NOCHIMMER bei mir rumtreibt ?
Oder sind das mal zur Abwechslung harmlose Prozesse ?

Bzw. was zum Kuckuck ist das überhaupt ?

Danke!

mfg
Fancy Destroyer

Ansonsten:

File/Folder C:\WINDOWS\system32\20.tmp not found.
C:\Dokumente und Einstellungen\*****\x.exe moved successfully.
C:\WINDOWS\zts2.exe moved successfully.
C:\WINDOWS\system32\iifgfgf.dll moved successfully.
C:\WINDOWS\rundl132.dll moved successfully.
C:\WINDOWS\R.COM moved successfully.
C:\WINDOWS\system32\T.COM moved successfully.
C:\WINDOWS\Lic.xxx moved successfully.

OTMoveIt2 v1.0.20 log created on 02272008_002600


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-27 00:42:51 for strings:
; 'cgequafbjync'
; 'memsweep2'
; 'directfyjc'
; 'sdthook'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectFyjc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CGEQUAFBJYNC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CGEQUAFBJYNC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CGEQUAFBJYNC\0000]
"Service"="cgequafbjync"
"DeviceDesc"="cgequafbjync"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CGEQUAFBJYNC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CGEQUAFBJYNC\0000\Control]
"ActiveService"="cgequafbjync"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIRECTFYJC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIRECTFYJC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIRECTFYJC\0000]
"Service"="DirectFyjc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMSWEEP2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMSWEEP2\0000]
"Service"="MEMSWEEP2"
"DeviceDesc"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMSWEEP2\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEMSWEEP2\0000\Control]
"ActiveService"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDTHOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDTHOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDTHOOK\0000]
"Service"="SDTHOOK"
"DeviceDesc"="SDTHOOK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDTHOOK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SDTHOOK\0000\Control]
"ActiveService"="SDTHOOK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectFyjc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectFyjc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectFyjc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectFyjc\Enum]
"0"="Root\\LEGACY_DIRECTFYJC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]
"DisplayName"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2\Enum]
"0"="Root\\LEGACY_MEMSWEEP2\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DIRECTFYJC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DIRECTFYJC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DIRECTFYJC\0000]
"Service"="DirectFyjc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\DirectFyjc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\DirectFyjc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CGEQUAFBJYNC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CGEQUAFBJYNC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CGEQUAFBJYNC\0000]
"Service"="cgequafbjync"
"DeviceDesc"="cgequafbjync"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CGEQUAFBJYNC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CGEQUAFBJYNC\0000\Control]
"ActiveService"="cgequafbjync"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTFYJC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTFYJC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTFYJC\0000]
"Service"="DirectFyjc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000]
"Service"="MEMSWEEP2"
"DeviceDesc"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000\Control]
"ActiveService"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDTHOOK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDTHOOK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDTHOOK\0000]
"Service"="SDTHOOK"
"DeviceDesc"="SDTHOOK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDTHOOK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SDTHOOK\0000\Control]
"ActiveService"="SDTHOOK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectFyjc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectFyjc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectFyjc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectFyjc\Enum]
"0"="Root\\LEGACY_DIRECTFYJC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2]
"DisplayName"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2\Enum]
"0"="Root\\LEGACY_MEMSWEEP2\\0000"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"b"="sc stop CGEQUAFBJYNC\\1"
"c"="sc delete CGEQUAFBJYNC\\1"

; End Of The Log...

#17 Hallo,

dieser Dienst ist suspekt:
S3 Alydtmxxors;Alydtmxxors;C:\WINDOWS\system32\ckcnv.exe [2004-08-05 13:00]

««
lasse diese exe prüfen + poste den report
http://virusscan.jotti.org/de/

C:\WINDOWS\system32\ckcnv.exe

---------------------------------------------------

Sophos Anti-Rootkit - MEMSWEEP2
sdthook.sys - Panda Software

---------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectFyjc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectFyjc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\DirectFyjc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CGEQUAFBJYNC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIRECTFYJC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_DIRECTFYJC]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CGEQUAFBJYNC]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTFYJC]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectFyjc]

boote in den abgesicherten Modus

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Combofix csfscript - mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1, wenn sich das blaue Fenster öffnet

-------------
«
Systemwiederherstellung deaktivieren
http://virus-protect.org/systemwiederherstellung.html

««
scanne mit kaspersky (online) + poste den report
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Hallo, danke sehr, für Deine Hilfe!

Erstmal zur verdächtigen Datei:

Datei: ckcnv.exe
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-
Bit9 rapportiert: No threat detected (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Ikarus
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden


Scheint harmlos zu sein...

Und das Registry-Ausputzen mach ich so schnell als möglich.

Nochmals danke für die Tipps & Hilfe!

Allerdings....
DirectFyjc schaut wie ein legacydriver aus.
Bist Du SICHER, daß das nicht ein harmloser Soundkarten Treiber ist...oder sowas in der Richtung ?

#19

Zitat

DirectFyjc schaut wie ein legacydriver aus.

««
S2 DirectFyjc;DirectX Service;C:\WINDOWS\system32\directx.exe []
ein fetter Virus, der einen Dienst erstellt hat

«
poste das log vom Kasperskyscan
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20 *oopsss*
Ok, alles klar...ein Skelett, das entsorgt gehört.
Sorry..bei "legacy driver" hat was bei mir in Richtung Soundkarten-Treiber des Motherboards geklingelt.
Das "dicke Ende" directx wurde ja schon entsorgt. Hab das deswegen nicht gesehen bzw. auch nicht per google rausfinden können.

Ich lieeeebbbeeee diese neuen Viren! Taufen sich irgendwie - und schon kriegste nimmer ohne weiteres spitz, was los ist.
*absolut ober-tollllll*

*not amused*
Fancy Dedstroyer

#21 und..wo ist das log vom Kaspersky-Scanner ?????????????
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#22 So, hier mal das, was combofix zu sagen hat:

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-27 bis 2008-02-27 ))))))))))))))))))))))))))))))
.

2008-02-26 01:45 . 2008-02-26 03:04 <DIR> d-------- C:\Programme\EsetOnlineScanner
2008-02-25 12:01 . 2008-02-25 12:07 <DIR> d-------- C:\ComboFix(2)
2008-02-21 22:30 . 2008-02-21 22:30 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-21 19:47 . 2008-02-21 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PC Tools
2008-02-21 19:47 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-21 19:47 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-21 19:47 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-21 19:47 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-21 18:45 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-21 18:42 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-21 18:42 . 2007-04-17 10:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-21 18:42 . 2007-01-31 07:47 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-21 18:42 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-21 18:42 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-21 18:42 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-21 18:42 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-21 18:42 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-21 14:00 . 2007-08-01 22:47 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-02-21 01:22 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-02-19 17:20 . 2008-02-19 17:20 <DIR> d-------- C:\Programme\Kopie von WinTV
2008-02-19 17:11 . 2008-02-19 17:11 <DIR> d-------- C:\Programme\nanoPEG for WinTV
2008-02-19 17:11 . 2005-07-28 13:33 40,960 --a------ C:\WINDOWS\system32\GButton.ocx
2008-02-19 17:10 . 2006-05-08 09:54 204,800 --a------ C:\WINDOWS\system32\Mdcustoms.ocx
2008-02-19 17:10 . 2006-01-25 17:38 69,632 --a------ C:\WINDOWS\system32\3DES.dll
2008-02-19 17:10 . 2007-02-19 16:30 46,488 --a------ C:\WINDOWS\system32\HCWTVServer.tlb
2008-02-19 17:10 . 2006-05-08 09:55 40,960 --a------ C:\WINDOWS\system32\HcwTvTvOCX.ocx
2008-02-19 17:09 . 2007-06-01 11:01 397,312 --a------ C:\WINDOWS\system32\HCWChMgr.ocx
2008-02-19 17:09 . 2006-07-21 15:07 176,197 --a------ C:\WINDOWS\system32\hcwmux.ax
2008-02-19 17:09 . 2007-05-01 12:13 168,007 --a------ C:\WINDOWS\system32\HCWPsiParser.ax
2008-02-19 17:09 . 2007-04-02 16:27 159,744 --a------ C:\WINDOWS\system32\hcwChDB.dll
2008-02-19 17:09 . 2006-10-12 11:28 139,264 --a------ C:\WINDOWS\system32\hcwdvbsubtitles.ax
2008-02-19 17:09 . 2004-09-10 15:58 94,208 --a------ C:\WINDOWS\system32\hcwsstereo.ax
2008-02-19 17:09 . 2006-04-06 13:46 65,536 --a------ C:\WINDOWS\system32\hcwNowNext.ax
2008-02-19 17:09 . 2006-03-28 17:38 57,344 --a------ C:\WINDOWS\system32\HCWdlace.ax
2008-02-19 17:09 . 2006-09-13 11:13 23,304 --a------ C:\WINDOWS\system32\HcwChDB.tlb
2008-02-19 16:02 . 2008-02-19 16:02 0 --a------ C:\23990098.$$$
2008-02-19 15:42 . 2008-02-19 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-19 13:58 . 2000-08-31 08:00 161,792 --a------ C:\WINDOWS\system32\swreg.ex
2008-02-19 13:58 . 2000-08-31 08:00 136,704 --a------ C:\WINDOWS\system32\swsc.ex
2008-02-15 23:25 . 2005-04-08 19:44 45,056 --a------ C:\WINDOWS\system32\hpzll3xu.dll
2008-02-15 23:20 . 2008-02-15 23:20 <DIR> d-------- C:\Programme\Hewlett-Packard
2008-02-15 23:20 . 2008-02-15 23:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-02-15 23:18 . 2008-02-15 23:18 <DIR> d-------- C:\Programme\HP
2008-02-15 23:17 . 2008-02-15 23:27 79,519 --a------ C:\WINDOWS\hpfins05.dat
2008-02-15 23:17 . 2005-07-09 02:03 1,395 --------- C:\WINDOWS\hpfmdl05.dat
2008-02-15 23:16 . 2008-02-15 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\HP
2008-02-15 23:16 . 2005-04-28 02:38 372,736 --a------ C:\WINDOWS\system32\hpzidi01.dll
2008-02-15 23:16 . 2005-04-28 02:37 77,824 --a------ C:\WINDOWS\system32\hpzids01.dll
2008-02-14 19:46 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-14 19:46 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-02-11 09:40 . 2008-02-11 09:40 2,715,648 --a------ C:\WINDOWS\system32\OnlineScanner.ocx
2008-02-11 09:39 . 2008-02-11 09:39 253,952 --a------ C:\WINDOWS\system32\OnlineScannerDLLA.dll
2008-02-11 09:39 . 2008-02-11 09:39 237,568 --a------ C:\WINDOWS\system32\OnlineScannerDLLW.dll
2008-02-08 13:53 . 2008-02-08 13:53 110,592 --a------ C:\WINDOWS\system32\OnlineScannerLang.dll
2008-02-05 08:48 . 2008-02-05 08:48 77,824 --a------ C:\WINDOWS\system32\OnlineScannerUninstaller.exe
2008-02-05 01:14 . 2008-02-05 01:16 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NetStat4Win
2008-02-05 01:14 . 2008-02-05 01:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2008-02-05 01:14 . 2007-09-19 14:00 330,336 --a------ C:\WINDOWS\N4WUn.EXE
2008-02-05 01:14 . 2008-02-05 01:14 1,939 -r------- C:\WINDOWS\NetStat4Win_Uninstall.in
2008-02-05 00:22 . 2008-02-05 00:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-05 00:22 . 2008-02-05 00:22 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-27 20:07 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-27 20:03 --------- d-----w C:\Programme\ATI Technologies
2008-02-27 19:55 --------- d-----w C:\Programme\vtplus
2008-02-27 19:54 --------- d-----w C:\Programme\WinTV
2008-02-27 19:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-27 19:41 --------- d-----w C:\Programme\Gemeinsame Dateien\ATI
2008-02-21 00:18 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-21 00:07 --------- d-----w C:\Programme\DivX6
2008-02-19 14:43 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Lavasoft
2008-02-19 14:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-29 01:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-16 23:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-29 14:35 112,992 ----a-w C:\WINDOWS\system32\drivers\keyscrambler.sys
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2006-09-02 01:12 481 ----a-w C:\Programme\UnInst.log
2005-04-30 09:19 8 --sh--r C:\WINDOWS\system32\8D2DA6CDF2.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATI Scheduler"="C:\Programme\ATI Multimedia\main\ATISched.EXE" [2006-10-31 20:25 26624]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"ATI DeviceDetect"="C:\Programme\ATI Multimedia\main\ATIDtct.EXE" [2006-10-31 20:24 57344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 13:39 69632 C:\WINDOWS\SOUNDMAN.EXE]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 15:26 406016]
"SmcService"="E:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 19:05 2532576]
"avast!"="e:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ISTray"="e:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"SchedulingAgent"="C:\WINDOWS\system32\mstask.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2002-02-15 09:51 24638 C:\WINDOWS\system32\PCANotify.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ATI Remote Control"=E:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
"ATI Launchpad"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=E:\Programme\HP\HP Software Update\HPWuSchd2.exe
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

R2 FastPara;FastPara;C:\WINDOWS\system32\drivers\FastPara.sys [1997-07-28 15:23]
R2 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2005-05-14 20:19]
R2 TMPService;TrafficMonitor Packettreiber Initialisierung;e:\Programme\NetStat4Win\TMPacketServiceInit.exe [2007-09-19 14:00]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 20:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 10:58]
R3 KeyScrambler;KeyScrambler;C:\WINDOWS\system32\drivers\keyscrambler.sys [2007-12-29 15:35]
S3 Alydtmxxors;Alydtmxxors;C:\WINDOWS\system32\ckcnv.exe [2004-08-05 13:00]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\20.tmp []
S3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys [2004-08-03 21:29]
S4 CallerIP;Visualware CallerIP;e:\Programme\CallerIP\cip-nt.exe []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 21:11:42
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-27 21:12:40
ComboFix-quarantined-files.txt 2008-02-27 20:12:36 (da ist nix neues drinnen)
ComboFix2.txt 2008-02-27 19:36:50
ComboFix3.txt 2008-01-30 09:36:20


Und jetzt noch kaspersky:
Memory-Prozesse-Scan ergagb ein leeres Logfile.

2. Scan ergab das:


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\*******\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 19983
Viren gefunden 0
Infizierte Objekte gefunden 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:18:07

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\S12D49938.tmp Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{202EE604-D309-4C96-9C3B-53F7762E7893}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{45715035-B165-4483-8727-72A6D94C5C25}.bin Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\mmf.sys Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_5b4.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log


Was mich aber dennoch stutzig macht, ist das dieses directfyjc noch immer manuell in der registry gefunden werden kann.
Manuell gelöscht werden kann es aber nicht.

mfg
Fancy Destroyer

#23 0.
lasse die datei prüfen
http://www.virustotal.com/de/
C:\WINDOWS\S12D49938.tmp

1.
erstelle die bat + poste den report
http://virus-protect.org/artikel/tools/tempfiles_bat.html

2.
IM ABGESICHERTEN MODUS:

Start -- Ausführen -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

PC neustarten
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#24 Hallo,

Die Datei kann man nicht so ohne weiteres prüfen lassen.
Ist versteckt und lässt sich nicht hochladen.
Detto wird sie von irgendwas benutzt.

SChätze, da wird wohl wieder der abges. Modus hermüssen...

mfg
Fancy Destroyer

#25 dann versuche es im abges.Modus
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#26 Sooooooooooooo....
Das wars jetzt wohl.

Die Datei war ok; sämtliche eigenartige Prozesse sind tot.

Ein paar weitere Dienste hab ich auch noch abgeschaltet - PC bzw. alles was ich so brauche läuft dennoch.

Schaut bis jetzt also sehr gut aus: Operation gelungen, Patient arbeitet wieder fleißig.

*einen Diener machend & sich bei Pinguin von Herzen bedankend*
Fancy Destroyer