War das ein Trojaner ?

#1 Diesmal bin ich leider sehr ungenau - aber ich kriege nichts exaktes raus:

Ich komm heute zu einem meiner PCs - und der macht Mätzchen:

Die Sygate zeigt traffic an, hat aber nix in der Logfile UND ist auf "block all" geschaltet.
Meine, es wurde schon was harmloses geloggt - aber die Darstellung des Traffics passte nicht dazu.

Ich steckte dann das Netzkabel physisch aus - und der seltsame Traffic war weg.
Kam dann auch nicht wieder. (auch nach Wiedereinstecken). Das sagt mir mal, daß da tatsächlich was war.

Dazu schein das System überlastet zu sein.
Weiters kann ich nichts mehr minimieren - oder fast nichts mehr.
Mit einem Videorender-Proggy kann ich auch plötzlich nix mehr öffnen.
So wirklich zwischen den Prozessen kann ich auch nicht mehr herumschalten.
Einige sind laut Taskmanager auf "reagiert nicht".

Unter den nicht mehr reagierenden Prozessen ist auch wintv von hauppauge.

Naja, nachdem dann bald garnix mehr ging, machte ich einen Kaltstart - und der Spuk war vorbei.
D.h. das Theater ging nicht wie bei einem Virus "gewohnt" von neuem los.

Alles in Butter also ?
Nein.
Wintv von hauppauge war hin - bzw. der Ton war plötzlich weg - und zwar völlig.
Kein Treiber, kein Gerät-Problem - garnix.
Sollte also wie schon Monate zuvor klaglos funktionieren. Tut es aber nicht.

Erst nach Installation neuer Wintv-Software ist Ruhe & alles läuft, wie immer.

So und jetzt die große Frage:
Könnt ihr was damit anfangen ?
War bei mir ein freakiger Trojaner zu Besuch, der eben zufällig wintv2000 zusammengeschossen hat...?
Oder was zum Kuckuck war da los ?

Bin für jeden Tip dankbar.

mfg
Fancy Destroyer

EDIT:

Hier das hjt-log:
Is da was besonderes zu sehen ? Vegas ist der Video-Renderer.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
e:\Programme\Alwil Software\Avast4\aswUpdSv.exe
e:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
e:\programme\a-squared free\a2service.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\runservice.exe
e:\Programme\NetStat4Win\TMPacketServiceInit.exe
e:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
e:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Multimedia\main\ATISched.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Multimedia\main\ATIDtct.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
e:\Programme\VideoLAN\VLC\vlc.exe
C:\PROGRA~1\WinTV\HCWTVS~1.EXE
E:\Programme\WinTV\WinTV.exe
E:\Programme\Mozilla Firefox3\firefox.exe
E:\Programme\Sony\Vegas 5.0\vegas50.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Sony\Vegas 5.0\vegas50.exe
E:\Programme\Sony\Vegas 5.0\vegas50.exe
C:\Programme\Ahead\Nero\nero.exe
E:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
E:\Programme\WinTV\scheduler\scheduler.exe
e:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Outlook Express\msimn.exe
E:\Programme\NetStat4Win\NetStat4Win.exe
E:\Programme\Symantec\pcAnywhere\WINAW32.EXE
N:\temp2\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/i_idt_173.html
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - e:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - m:\Programme\NetXfer\NXIEHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-f7ed0776fb27} - e:\programme\steganos internet anonym 2006\sia2006iep.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - m:\Programme\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] e:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [ATI Scheduler] C:\Programme\ATI Multimedia\main\ATISched.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msacm32.exe
O4 - HKCU\..\Policies\Explorer\Run: [{9825C2FE-0BA9-3079-0517-05031203002b}] "C:\Programme\Gemeinsame Dateien\{9825C2FE-0BA9-3079-0517-05031203002b}\Update.exe" te-110-12-0000208
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SIA2006] "E:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SIA2006] "E:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SIA2006] "E:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SIA2006] "E:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" -firstboot (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = E:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Blocca informazioni personali da questo sito - file://E:\Programme\GhostSurf\info.block.html
O8 - Extra context menu item: Blocca popups in questo sito - file://E:\Programme\GhostSurf\popup.block.html
O8 - Extra context menu item: Blocca questa pubblicità - file://E:\Programme\GhostSurf\menu.blockimg.html
O8 - Extra context menu item: Permetti alle informazioni personali di raggiungere questo sito - file://E:\Programme\GhostSurf\info.allow.html
O8 - Extra context menu item: Permetti popups in questo sito - file://E:\Programme\GhostSurf\popup.allow.html
O8 - Extra context menu item: Permetti questa pubblicità - file://E:\Programme\GhostSurf\menu.allowimg.html
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - e:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - e:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {27B6EEE7-C7BB-4EAA-9215-793FB1F16329} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {27B6EEE7-C7BB-4EAA-9215-793FB1F16329} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127842615468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127842595171
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE2E535-B6CC-4238-850F-7E0C652A7953}: NameServer = 195.34.133.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{83A299CC-AB0D-49B6-A18D-C7055ED53F5D}: NameServer = 195.34.133.10
O18 - Protocol: ezpp - {810403FA-E82E-11D5-8AAB-0010A404A3DE} - C:\WINDOWS\system32\EZTOOL~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - e:\programme\a-squared free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - e:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - e:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - e:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - e:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - E:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Visualware CallerIP (CallerIP) - Unknown owner - e:\Programme\CallerIP\cip-nt.exe (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DirectX Service (DirectFyjc) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - E:\Programme\Alias\Maya6.5\docs\wrapper.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - E:\Programme\Sygate\SPF\smc.exe
O23 - Service: TrafficMonitor Packettreiber Initialisierung (TMPService) - Mirko Böer - e:\Programme\NetStat4Win\TMPacketServiceInit.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#2 Hallo
mit dem log von Combofix sehe ich mehr...
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Bitte sehr:


Und: Hallloooo - bifrost ist nicht ganz koscher.
Per Suchfunktion gefunden & gelöscht.
War scheinbar nicht aktiv.

ComboFix 08-01-30.6 - ***** 2008-01-30 10:32:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.532 [GMT 1:00]
ausgeführt von:: N:\temp2\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\addon.dat
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\addon.dat
C:\Programme\Gemeinsame Dateien\{3825C~1
C:\Programme\Gemeinsame Dateien\{3825C~1\UnInstall.exe
C:\Programme\Gemeinsame Dateien\{9825C~1

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-30 ))))))))))))))))))))))))))))))
.

2008-01-17 00:29 . 2007-12-29 15:35 112,992 --a------ C:\WINDOWS\system32\drivers\keyscrambler.sys
2008-01-17 00:06 . 2008-01-17 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-01-17 00:05 . 2008-01-25 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PrevxCSI
2008-01-04 11:23 . 2008-01-05 22:56 <DIR> d-------- C:\Temp
2008-01-03 00:29 . 2008-01-30 10:02 48 --ahs---- C:\WINDOWS\S12D49938.tmp
2007-12-19 21:05 . 2007-12-19 21:05 97,216 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2007-12-13 02:55 . 2007-12-13 02:56 <DIR> d-------- C:\Dokumente und Einstellungen\*****\vw
2007-12-13 00:36 . 2007-12-13 00:36 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\WinPatrol
2007-12-09 01:04 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-12-07 01:23 . 2007-12-07 01:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 01:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-24 22:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2006-09-02 01:12 481 ----a-w C:\Programme\UnInst.log
2007-05-31 12:25 6,677 --sha-w C:\WINDOWS\Bifrost\klog.dat
2005-04-30 09:19 8 --sh--r C:\WINDOWS\system32\8D2DA6CDF2.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATI Scheduler"="C:\Programme\ATI Multimedia\main\ATISched.EXE" [2006-10-31 20:25 26624]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"ATI Launchpad"="" []
"ATI DeviceDetect"="C:\Programme\ATI Multimedia\main\ATIDtct.EXE" [2006-10-31 20:24 57344]
"ATI Remote Control"="E:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe" [2006-01-05 20:02 1622016]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 13:39 69632 C:\WINDOWS\SOUNDMAN.EXE]
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2006-07-20 04:55 98304]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 15:26 406016]
"SmcService"="E:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 19:05 2532576]
"avast!"="e:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"WinPatrol"="e:\Programme\BillP Studios\WinPatrol\winpatrol.exe" [2007-10-26 17:06 292152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"SchedulingAgent"="C:\WINDOWS\system32\mstask.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SIA2006"="E:\Programme\Steganos Internet Anonym 2006\SIA2006.exe" [2005-08-19 14:29 2965504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\system32\msacm32.exe
A variant of the Nuwar/Storm worm dropper
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{9825C2FE-0BA9-3079-0517-05031203002b}"= "C:\Programme\Gemeinsame Dateien\{9825C2FE-0BA9-3079-0517-05031203002b}\Update.exe" te-110-12-0000208

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ldr64]
ldr64.dll
Added by the W32.Beagle.DV Trojan.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2002-02-15 09:51 24638 C:\WINDOWS\system32\PCANotify.dll

SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2005-06-28 09:17]
R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 13:47]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2005-06-28 09:17]
R2 FastPara;FastPara;C:\WINDOWS\system32\drivers\FastPara.sys [1997-07-28 15:23]
R2 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2005-05-14 20:19]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 20:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 10:58]
S2 DirectFyjc;DirectX Service;C:\WINDOWS\system32\directx.exe []
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [2005-06-28 13:07]
S3 Alydtmxxors;Alydtmxxors;C:\WINDOWS\system32\ckcnv.exe [2004-08-05 13:00]
S3 CallerIP;Visualware CallerIP;e:\Programme\CallerIP\cip-nt.exe [2004-08-16 00:55]
S3 KeyScrambler;KeyScrambler;C:\WINDOWS\system32\drivers\keyscrambler.sys [2007-12-29 15:35]
S3 maya65docserver;Maya 6.5 Documentation Server;E:\Programme\Alias\Maya6.5\docs\wrapper.exe [2004-07-16 21:26]
S3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys [2004-08-03 21:29]

*Newly Created Service* - AVGARCLN
*Newly Created Service* - AVG_ANTI-ROOTKIT

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5B9CB7CF-1F57-05AF-D7B8-6CA1769B02C1}]
C:\WINDOWS\Bifrost\server.exe s
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 10:35:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

? [2532]
? [32744]
? [33036]
? [25268]
Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Programme\Secure Surfing Engine\sselsp.dll
.
Zeit der Fertigstellung: 2008-01-30 10:36:19
ComboFix-quarantined-files.txt 2008-01-30 09:36:11



Und wenn Bifrost das ist, wofür ich es halte - soll ja ein böser Backdoor-TRojaner sein - warum zum Kuckuck hat bisher weder combofix noch sonst IRGENDWAS bei x Durchsuchungen Alarm geschlagen ???

..
....
......

Hab mich ein wenig klug gemacht.
Bifrost ist angeblich ein längst bekannter Backdoor-Trojaner, gegen den genau nix hilft. Wird trotz all der Zeit von fast keiner Software erkannt.

Seltsam. Hat sich nie "gemeldet". Das was der sonst so macht, kriegt man ja mit...?

Und ich war in letzter Zeit ansich nichtmal "abseits vom SChuß" unterwegs.

Verstehe das nicht.
Wie hab ich mir das bloß eingefangen..?
Oder war da garnix ?

*verwirrt*
Fancy Destroyer

#4

Zitat

Und: Hallloooo - bifrost ist nicht ganz koscher.
Per Suchfunktion gefunden & gelöscht.
War scheinbar nicht aktiv.

wie kommst Du da rauf?

Zitat

2007-05-31 12:25 6,677 --sha-w C:\WINDOWS\Bifrost\klog.dat

ist das File vom Keylogger von Bifrost.

Zitat

SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten

auch nett. also, da war/ist was.

denke mal über format C:/ nach, danach alle Passwörter ändern.
__________
darknight, die wo anders Heike ist.

#5

Zitat

darknight postete

Zitat

Und: Hallloooo - bifrost ist nicht ganz koscher.
Per Suchfunktion gefunden & gelöscht.
War scheinbar nicht aktiv.

wie kommst Du da rauf?

Wenn er aktiv gewesen wäre, und ich ihn löschen will, müßte das Sys das nicht zulassen, oder ?
Hab den ganzen bifrost-Order aber löschen können.
Oder...?

Zitat

Zitat

2007-05-31 12:25 6,677 --sha-w C:\WINDOWS\Bifrost\klog.dat

ist das File vom Keylogger von Bifrost.

Zitat

SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten

auch nett. also, da war/ist was.

Wie kann man diesen SChlüssel reparieren ?

Zitat

denke mal über format C:/ nach, danach alle Passwörter ändern.

*autsch*

Aja, noch eine Frage: Bifrost wurde sehr weit unten angeführt.
Heißt das, er ist erst seit kurzem da, oder ist das zufällig ?

Ich würde eher auf ersters tippen, da combofix ihn sonst schon vor ner Ewigkeit abgeknallt hätte.

Ich kapier das nicht, hab auf dem pc nichtmal p2p installiert, bzw. surfe praktisch nicht in "unbekannten Gewässern".

Kann man sich denn gegen solche backdoors garnicht schützen ?
Bzw. gibts irgend ein Programm, das ich inkompliziert öfters mal ausführen kann, das aber mal zur Abwechslung auch sowas entdeckt - und zwar ZUVERLÄSSIG.

*genervt & etwas ratlos*
Fancy Destroyer

#6

Zitat

Kann man sich denn gegen solche backdoors garnicht schützen ?
Bzw. gibts irgend ein Programm, das ich inkompliziert öfters mal ausführen kann, das aber mal zur Abwechslung auch sowas entdeckt - und zwar ZUVERLÄSSIG.

sowas gibt es nicht, es gibt keine 100%ige Sicherheit, egal welche Tools Du verwendest. Eine 100%ige Sicherheit hat niemand, wer es behauptet, der lügt.

gehe einfach mal davon aus: alle Daten auf Deinem PC sind einer anderen Person bekannt.

ich surfe in "gefährlichen Gewässern", brain.exe hilft, denn es fliegt nichts auf einen PC. beschäftige Dich mehr mit "PC-Sicherheit"

Zitat

Wie kann man diesen SChlüssel reparieren ?

hast mal google versucht? wenn Du nicht verstehst, was Du machst, ist alles was Du machst sinnfrei. Du wurdest "geowned". Hast Du das Wissen, die Folgen zu erkennen und zu beseitigen?

Wenn Du Zweifel hast: format C:\
__________
darknight, die wo anders Heike ist.

#7

Zitat

darknight postete

Zitat

Kann man sich denn gegen solche backdoors garnicht schützen ?
Bzw. gibts irgend ein Programm, das ich inkompliziert öfters mal ausführen kann, das aber mal zur Abwechslung auch sowas entdeckt - und zwar ZUVERLÄSSIG.

sowas gibt es nicht, es gibt keine 100%ige Sicherheit, egal welche Tools Du verwendest. Eine 100%ige Sicherheit hat niemand, wer es behauptet, der lügt.

100% will ich garnicht haben.
Mir ist bekannt, daß das nicht möglich ist.
Mir wäre schon recht, wenn ein Tool wenigstens die WICHTIGSTEN bzw. älteren Sachen erkennt.
Bifrost ist ja schon alt - genauso, wie beagle alt ist.
Die neuesten Bösartigkeiten vom wow-Host kann man natürlich nicht abhalten.
Aber isses echt zuviel verlangt, uralte Trojaner zu erkennen ?

Zitat

gehe einfach mal davon aus: alle Daten auf Deinem PC sind einer anderen Person bekannt.

lustig.....

Zitat

ich surfe in "gefährlichen Gewässern", brain.exe hilft, denn es fliegt nichts auf einen PC. beschäftige Dich mehr mit "PC-Sicherheit"

Sehr witzig.
Ich klicke auf nix auch nur ansatzweise verdächtiges, habe überhaupt keinen p2p und icq-Verkehr. Von wow odere ähnlichen ganz zu schweigen.
Dazu habe ich scriptblocker, keyscrambler, firewall, virenkiller usw..

Brain.exe wird also ganz gut genutzt.
Würde mich zumindest als vorsichtig bezeichnen.

Das Bifrost dürfte schon längst gekillt worden sein.
Habe server.exe bei housecall in quarantäne gesehen.

Mit anderen Worten: Was auch immer, wie auch immer bei mir angedockt hat, wurde von mir NICHT vorher "eingeladen" per Click oder so.

Es dürfte sich also beim reinen Surfen irgenwie unbemerkt reingeschlichen haben.
Und ich habe eben gefragt, ob nicht irgend ein Proggy das WENIGSTENS erkennt - von Vernichten war erstmal nichtmal die Rede.

Zitat

Zitat

Wie kann man diesen SChlüssel reparieren ?

hast mal google versucht? wenn Du nicht verstehst, was Du machst, ist alles was Du machst sinnfrei. Du wurdest "geowned". Hast Du das Wissen, die Folgen zu erkennen und zu beseitigen?

Wenn Du Zweifel hast: format C:\

Tja, das Wissen hab ich (jetzt), was geowned heißt.
Aber das Tun, was das bedeutet, gefällt mir nicht sonderlich...*autsch*

mfg
Fancy Destroyer

#8

Zitat

Es dürfte sich also beim reinen Surfen irgenwie unbemerkt reingeschlichen haben.

so was ist unmöglich, wenn das OS aktuell ist. Du hast geklickt, da bin ich mir ganz sicher.

Zitat

Das Bifrost dürfte schon längst gekillt worden sein.

ja, dürfte. Weißt Du, wie lange es vorher lief?
__________
darknight, die wo anders Heike ist.

#9

Zitat

darknight postete

Zitat

Es dürfte sich also beim reinen Surfen irgenwie unbemerkt reingeschlichen haben.

so was ist unmöglich, wenn das OS aktuell ist. Du hast geklickt, da bin ich mir ganz sicher.

Wie sieht denn so ein click aus ?
Ich weiß, ist ne blöde Frage - aber ich hätte niemals irgendwas erlaubt, sich bei mir installieren.
So nach dem Motto:"Darf sich server.exe" installieren, oder so.
Oder darf bifrost xxxx tun, oder so.

Wie kommt die Software also auf den Pc ?
Über Shareware ? Ist das möglich ?
War da ne Installroutine einer Software faul ?
Das könnte ich mir vorstellen.

Zitat

Zitat

Das Bifrost dürfte schon längst gekillt worden sein.

ja, dürfte. Weißt Du, wie lange es vorher lief?

Is leider ne verflixt gute Frage.

Aber ich stelle mir inzw. eine viel bessere Frage:
Wenn bifrost längst tot ist...was war dann für den Traffic an Sygate "block all" zuständig ?
Und was ist das für freakiger Virus, der nach einem Kaltstart nie mehr auftritt, aber einem ausgerechnet wintv zusammenhaut ?
Welche Schadsoftware verhindert das Minimieren von Fenstern ?
Sonst isses ja immer umgekehrt - der Virus macht Fenster auf.
Kennt wer einen Virus, der sich so verhält und von nichts erkannt wird ?

Hat da am Ende das feinste vom feinsten aus der neuesten Trojaner-Hexenküche vorbeigeschaut ?
Und wie war das möglich ?

*besorgt*
Fancy Destroyer

#10 auf dem Rechner ist ein Goldrun-Rootkit/Haxdoor, und noch ziemlich andere unangehme Dinge von dir selbst geladen und damit das System kompromitiert..
Es scheint, du experimentierst gern mit dubioser Software..ohne mit ihr umgehen zu können
...Reinigung sinnlos...formatiere
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 ...und das genau am "richtigen" Pc.

Toll.

Darf ich noch fragen, wo bzw. an welchem Code man sieht, was sich bei mir rumtreibt ?
(Frage das deshalb, damit ich mir nicht nochmal höchstselbst was "anlache".)
Danke im voraus.

EDIT:
Softwaretip: Neben houscall noch spyware doctor und scanspyware. Die Dinger sehen wenigstens was. Der Doctor KÖNNTE sogar ein vernünftiger Zusatz für den Avast sein. Werd mal sehen, ob er echt mitkriegt, wenn sich was breit machen will...

#12 Sagt mal, gibts da eigentlich ne Site, der man logs von z.B. combofix schicken kann & man kriegt raus, was daran verdächtig ist ?

Oder wie kriegen sonst die erfahrenen User raus, was bei einem faul ist ?
Kann mir schwer vorstellen, daß diese netten Herren jede komische exe-File extra im Netz suchen...

*neugierig*
Fancy Destroyer

#13 kein "Herr" und nett...nun ja... - nun, der haxdoor u.a. ist leicht ersichtlich aus dem Log, (siehe oben) ...einige Einträge hab ich rot gekennzeichnet, nicht alle, aber die wichtigsten.
Es ist sinnlos, das zu reinigen. Formatieren und dann nachdenken über:
Datensicherung - BackUp
http://virus-protect.org/artikel/tools/trueimage.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Danke erstmal!

Habe inzwischen auf der Maschine Tabula Rasa gemacht und so ziemlich alles abgeknallt, was mir komisch vorkam oder nicht unmittelbar gebraucht wird.

Wieso da soviel Wurm-Skelette rumlagen & ich mich wunderte, wie die da hinkamen bzw. wie das möglich war, wenn sich das Zeug nie "gemeldet" hat, ist mir inzwischen auch eingefallen.

Sie haben sich ja recht auffällig gemeldet. Ist schon länger her. Wurden soweit dann sofort eliminiert - aber nicht 100%ig entfernt.
Darum hat sich auch jede Datei anstandslos löschen lassen, da nicht aktiv.

Der letzte Angriff hat sich auch recht auffällig zu Wort gemeldet (TV-Störung). Dürfte ich aber hoffentlich wieder rausgeworfen haben.
Und dazu rätsle ich immernoch: Was ist da überhaupt passiert ?
Hat wer eine Vermutung, welcher Virus das Minimieren von Proggies verhindert...oder hat einfach nur mein PC einen Rappel bekommen, weil er ein wenig überlastet war von meine ganzen Multimedia-Proggies ?

Einiges kommt mir aber noch spanisch vor. Ist rot markiert.
Vorallem das letzte mit zwclose irritiert mich.
Was soll ich davon halten ? Was ist das ?


Und noch was:
Ihr habt mir noch nicht die Frage beantwortet, ob es irgend eine Site gibt, die combofix-Logs auswertet.
Gibts eine ?


ComboFix 08-02-19.2 - ****** 2008-02-25 12:02:33.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.276 [GMT 1:00]
ausgeführt von:: N:\temp2\ComboFix(2).exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-25 bis 2008-02-25 ))))))))))))))))))))))))))))))
.

2008-02-25 12:01 . 2008-02-25 12:06 <DIR> d-------- C:\ComboFix(2)
2008-02-25 12:01 . 2000-08-31 08:00 161,792 --a------ C:\WINDOWS\system32\swreg.exe
2008-02-25 12:01 . 2000-08-31 08:00 136,704 --a------ C:\WINDOWS\system32\swsc.exe
2008-02-25 12:01 . 2000-08-31 08:00 98,816 --a------ C:\WINDOWS\system32\sed.exe
2008-02-25 12:01 . 2000-08-31 08:00 68,096 --a------ C:\WINDOWS\system32\zip.exe
2008-02-21 22:30 . 2008-02-21 22:30 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-21 19:47 . 2008-02-21 19:47 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\PC Tools
2008-02-21 19:47 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-21 19:47 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-21 19:47 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-21 19:47 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-21 18:45 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-21 18:42 . 2008-02-21 18:42 <DIR> d-------- C:\WINDOWS\ie7updates
2008-02-21 18:42 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-21 18:42 . 2007-04-17 10:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-21 18:42 . 2007-01-31 07:47 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-21 18:42 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-21 18:42 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-21 18:42 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-21 18:42 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-21 18:42 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-21 14:00 . 2007-08-01 22:47 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-02-21 01:22 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-02-19 17:20 . 2008-02-19 17:20 <DIR> d-------- C:\Programme\Kopie von WinTV
2008-02-19 17:11 . 2008-02-19 17:11 <DIR> d-------- C:\Programme\nanoPEG for WinTV
2008-02-19 17:11 . 2005-07-28 13:33 40,960 --a------ C:\WINDOWS\system32\GButton.ocx
2008-02-19 17:10 . 2006-05-08 09:54 204,800 --a------ C:\WINDOWS\system32\Mdcustoms.ocx
2008-02-19 17:10 . 2006-01-25 17:38 69,632 --a------ C:\WINDOWS\system32\3DES.dll
2008-02-19 17:10 . 2007-02-19 16:30 46,488 --a------ C:\WINDOWS\system32\HCWTVServer.tlb
2008-02-19 17:10 . 2006-05-08 09:55 40,960 --a------ C:\WINDOWS\system32\HcwTvTvOCX.ocx
2008-02-19 17:09 . 2007-06-01 11:01 397,312 --a------ C:\WINDOWS\system32\HCWChMgr.ocx
2008-02-19 17:09 . 2006-07-21 15:07 176,197 --a------ C:\WINDOWS\system32\hcwmux.ax
2008-02-19 17:09 . 2007-05-01 12:13 168,007 --a------ C:\WINDOWS\system32\HCWPsiParser.ax
2008-02-19 17:09 . 2007-04-02 16:27 159,744 --a------ C:\WINDOWS\system32\hcwChDB.dll
2008-02-19 17:09 . 2006-10-12 11:28 139,264 --a------ C:\WINDOWS\system32\hcwdvbsubtitles.ax
2008-02-19 17:09 . 2004-09-10 15:58 94,208 --a------ C:\WINDOWS\system32\hcwsstereo.ax
2008-02-19 17:09 . 2006-04-06 13:46 65,536 --a------ C:\WINDOWS\system32\hcwNowNext.ax
2008-02-19 17:09 . 2006-03-28 17:38 57,344 --a------ C:\WINDOWS\system32\HCWdlace.ax
2008-02-19 17:09 . 2006-09-13 11:13 23,304 --a------ C:\WINDOWS\system32\HcwChDB.tlb
2008-02-19 16:02 . 2008-02-19 16:02 0 --a------ C:\23990098.$$$
2008-02-19 15:42 . 2008-02-19 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-19 15:35 . 2008-02-19 15:35 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-19 15:35 . 2008-02-19 15:35 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-19 15:35 . 2008-02-19 15:35 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-19 15:34 . 2004-08-05 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-02-19 15:34 . 2004-08-05 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-02-19 15:34 . 2008-02-20 10:12 26 --a------ C:\WINDOWS\Lic.xxx
2008-02-19 13:58 . 2004-08-05 13:00 401,408 --a------ C:\WINDOWS\system32\kmd.exe
2008-02-19 13:58 . 2000-08-31 08:00 212,480 --a------ C:\WINDOWS\system32\swxcacls.exe
2008-02-19 13:58 . 2000-08-31 08:00 161,792 --a------ C:\WINDOWS\system32\swreg.ex
2008-02-19 13:58 . 2000-08-31 08:00 136,704 --a------ C:\WINDOWS\system32\swsc.ex
2008-02-19 13:58 . 2000-08-31 08:00 80,412 --a------ C:\WINDOWS\system32\grep.exe
2008-02-19 13:58 . 2000-08-31 08:00 73,728 --a------ C:\WINDOWS\system32\fdsv.exe
2008-02-19 13:58 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-02-19 13:58 . 2000-08-31 08:00 49,152 --a------ C:\WINDOWS\system32\VFind.exe
2008-02-15 23:25 . 2005-04-08 19:44 45,056 --a------ C:\WINDOWS\system32\hpzll3xu.dll
2008-02-15 23:20 . 2008-02-15 23:20 <DIR> d-------- C:\Programme\Hewlett-Packard
2008-02-15 23:20 . 2008-02-15 23:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-02-15 23:18 . 2008-02-15 23:18 <DIR> d-------- C:\Programme\HP
2008-02-15 23:18 . 2008-02-21 01:18 <DIR> d-------- C:\Config.Msi
2008-02-15 23:17 . 2008-02-15 23:27 79,519 --a------ C:\WINDOWS\hpfins05.dat
2008-02-15 23:17 . 2005-07-09 02:03 1,395 --------- C:\WINDOWS\hpfmdl05.dat
2008-02-15 23:16 . 2008-02-15 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\HP
2008-02-15 23:16 . 2005-04-28 02:38 372,736 --a------ C:\WINDOWS\system32\hpzidi01.dll
2008-02-15 23:16 . 2005-04-28 02:37 77,824 --a------ C:\WINDOWS\system32\hpzids01.dll
2008-02-14 19:46 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-14 19:46 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-02-05 01:14 . 2008-02-05 01:16 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\NetStat4Win
2008-02-05 01:14 . 2008-02-05 01:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2008-02-05 01:14 . 2007-09-19 14:00 330,336 --a------ C:\WINDOWS\N4WUn.EXE
2008-02-05 01:14 . 2008-02-05 01:14 1,939 -r------- C:\WINDOWS\NetStat4Win_Uninstall.in
2008-02-05 00:22 . 2008-02-05 00:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-05 00:22 . 2008-02-05 00:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-30 10:52 . 2008-01-30 10:52 30,601 --a------ C:\Dokumente und Einstellungen\******\x.exe
2008-01-30 10:31 . 2008-02-19 14:00 <DIR> d-------- C:\QooBox

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-25 11:05 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-21 17:51 --------- d-----w C:\Programme\Outlook Express
2008-02-21 17:51 --------- d-----w C:\Programme\Gemeinsame Dateien\System
2008-02-21 17:47 --------- d-----w C:\Programme\Internet Explorer
2008-02-21 00:18 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-21 00:16 --------- d-----w C:\Programme\Gemeinsame Dateien
2008-02-21 00:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Designer
2008-02-21 00:07 --------- d-----w C:\Programme\DivX6
2008-02-19 16:10 --------- d-----w C:\Programme\WinTV
2008-02-19 14:43 --------- d-----w C:\Dokumente und Einstellungen\******\Anwendungsdaten\Lavasoft
2008-02-19 14:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-29 01:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-24 22:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-16 23:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-29 14:35 112,992 ----a-w C:\WINDOWS\system32\drivers\keyscrambler.sys
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2006-09-02 01:12 481 ----a-w C:\Programme\UnInst.log
2005-04-30 09:19 8 --sh--r C:\WINDOWS\system32\8D2DA6CDF2.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATI Scheduler"="C:\Programme\ATI Multimedia\main\ATISched.EXE" [2006-10-31 20:25 26624]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"ATI DeviceDetect"="C:\Programme\ATI Multimedia\main\ATIDtct.EXE" [2006-10-31 20:24 57344]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 13:39 69632 C:\WINDOWS\SOUNDMAN.EXE]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 15:26 406016]
"SmcService"="E:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 19:05 2532576]
"avast!"="e:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ISTray"="e:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"SchedulingAgent"="C:\WINDOWS\system32\mstask.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2002-02-15 09:51 24638 C:\WINDOWS\system32\PCANotify.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ATI Remote Control"=E:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
"ATI Launchpad"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=E:\Programme\HP\HP Software Update\HPWuSchd2.exe
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

R2 FastPara;FastPara;C:\WINDOWS\system32\drivers\FastPara.sys [1997-07-28 15:23]
R2 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2005-05-14 20:19]
R2 TMPService;TrafficMonitor Packettreiber Initialisierung;e:\Programme\NetStat4Win\TMPacketServiceInit.exe [2007-09-19 14:00]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 20:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 10:58]
R3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 15:11]
R3 KeyScrambler;KeyScrambler;C:\WINDOWS\system32\drivers\keyscrambler.sys [2007-12-29 15:35]
R3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\20.tmp []
S3 Alydtmxxors;Alydtmxxors;C:\WINDOWS\system32\ckcnv.exe [2004-08-05 13:00]
S3 CallerIP;Visualware CallerIP;e:\Programme\CallerIP\cip-nt.exe []
S3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys [2004-08-03 21:29]

*Newly Created Service* - CGEQUAFBJYNC
*Newly Created Service* - F-SECURE_STANDALONE_MINIFILTER
*Newly Created Service* - MEMSWEEP2
*Newly Created Service* - SDTHOOK
.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-25 12:06:10
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

#15 nein, es gibt keine Seite, die Combofix auswertet...
--------

Start - Ausführen :
kopiere rein

sc stop CGEQUAFBJYNC

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete CGEQUAFBJYNC

[klicke "enter"]

del C:\WINDOWS\system32\20.tmp

[klicke "enter"]


««
öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\20.tmp
C:\Dokumente und Einstellungen\******\x.exe
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundl132.dll
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM
C:\WINDOWS\Lic.xxx

Klicke auf den Roten MoveIt!
Wenn das Tool fertig ist wird ein Log erstellt (*******_******.log *steht für Datum und Zeit

In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

---------
««
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

CGEQUAFBJYNC

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit:
MEMSWEEP2
DirectFyjc
SDTHOOK

«
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/