Report des Anti Vir Scans

#0
06.04.2008, 17:02
Member

Beiträge: 14
#1 Hallo habe beim Anti Vir Scan Dateien gefunden, an denen sich auch schon Spybot die Zähne ausgebissen hat.
Dürfen die betroffenen Dateien gelöscht werden?

Hier der Report:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 6. April 2008 16:16

Es wird nach 1181591 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:26
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:30
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:44
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:16
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 01:34:18
ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27.03.2008 19:06:50
ANTIVIR3.VDF : 7.0.3.122 195072 Bytes 05.04.2008 10:30:10
AVEWIN32.DLL : 7.6.0.81 3424768 Bytes 05.04.2008 01:40:06
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:24
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:52
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 21:29:06
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:30
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:16
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:04
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 11:37:52
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 11:50:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 6. April 2008 16:16

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\winnt\system32\ntos.exe
[HINWEIS] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.nm
[HINWEIS] Es konnte kein SpecVir-Eintrag gefunden werden!
[INFO] Eine Sicherungskopie wurde unter dem Namen 4867dc04.qua erstellt ( QUARANTÄNE )
c:\winnt\system32\wsnpoem\video.dll
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 485cdbf9.qua erstellt ( QUARANTÄNE )
c:\winnt\system32\wsnpoem\audio.dll
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 485cdc06.qua erstellt ( QUARANTÄNE )
c:\winnt\system32\wsnpoem
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 4866dc04.qua erstellt ( QUARANTÄNE )
Es wurden '27285' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpngui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANPRO.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinCinemaMgr.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartTrayA' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'htpatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartServi' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAgent2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOOF>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 6. April 2008 16:30
Benötigte Zeit: 14:06 min

Der Suchlauf wurde vollständig durchgeführt.

1772 Verzeichnisse wurden überprüft
82404 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
25 Dateien konnten nicht durchsucht werden
82403 Dateien ohne Befall
1290 Archive wurden durchsucht
25 Warnungen
0 Hinweise
27285 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
06.04.2008, 17:33
Member

Beiträge: 33
#2 Bei einem ZBiot kannst Du nur eins machen: Den Rechner neu Aufsetzen und schnell alle Passwörter ändern und, falls OnlineBanking betrieben wurde, die Konten prüfen.
Seitenanfang Seitenende
06.04.2008, 18:31
Member

Themenstarter

Beiträge: 14
#3 Hallo BataAlexander,
hast du dem Bericht etwas bestimmtes entnehmen können? (Bin nämlich kein Computer Experte). Weshalb sind Reperaturversuche deiner Meinung nach hier zwecklos? bzw. warum können die Dateien nicht gelöscht werden?

...das letzte online banking wurde definitiv vor dem Befall des Rechners durchgeführt, seit dem natürlich nicht mehr!
Besteht hier trotzdem eine Gefahr?
Dieser Beitrag wurde am 06.04.2008 um 18:35 Uhr von Alanin editiert.
Seitenanfang Seitenende
06.04.2008, 18:41
Member

Beiträge: 33
#4 In Deinem Log habe ich, wie geschrieben, einen ZBot gesehen.
Das sind die Dateien

Zitat

• %SYSDIR%\ntos.exe
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll
Dieser "Gast" macht u.a.:

Zitat

• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer
Dein Rechner ist kompromottiert.

Wie geschrieben, solltest Du den Rechner jetzt vom Netz nehmen und ihn neu aufspielen.Hier ist eine Anleitung für Dich.

Und ganz wichtig: Ändere alle Passwörter und Zugangsdaten und prüfe Onlinekonten auf Unregelmäßigkeiten!

Das mag Dir etwas übertrieben scheinen, vielleicht sagen raman, Arnold oder Sabina ja noch was anderes, meiner Meinung nach und der vieler anderen, ist es der einzig saubere und richtige Weg.[/url]
Seitenanfang Seitenende
06.04.2008, 20:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo,

nun ja...man kann es sauber bekommen ....
es reicht, mit combofix zu scannen (enthält Reinigungsroutine)

««
http://virus-protect.org/artikel/tools/otmoveIt.html
Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

c:\winnt\system32\ntos.exe
c:\winnt\system32\wsnpoem
Klicke auf den Roten MoveIt!


««
Combofix anwenden
http://virus-protect.org/artikel/tools/combofix.html
poste hier den report

««
dann muss man noch einen Eintrag im HijackTHis fixen, also HijackThis laden und das log posten
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2008, 23:00
Member

Themenstarter

Beiträge: 14
#6 Hallo Sabina,
ich habe den o.g. Fahrplan abgearbeitet.
Hier ist das Ergebnis des ersten Schrittes:



File move failed. c:\winnt\system32\ntos.exe scheduled to be moved on reboot.
Folder move failed. c:\winnt\system32\wsnpoem scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04062008_223908

Files moved on Reboot...
File move failed. c:\winnt\system32\ntos.exe scheduled to be moved on reboot.
Folder move failed. c:\winnt\system32\wsnpoem scheduled to be moved on reboot.



Hier das file von combofix:

ComboFix 08-04-06.1 - xxx 06.04.2008 22:50:13.1 - [color=red]FAT32[/color]x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.88 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\system32\conf.dat
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-06 bis 2008-04-06 ))))))))))))))))))))))))))))))
.

2008-04-06 22:50 . 06.04.08 22:50 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_370.dat
2008-04-06 22:39 . 06.04.08 22:39 3,375,239 --a------ C:\WINNT\{00000000-00000000-0000000A-00001102-00000002-80661102}.BAK
2008-04-06 22:27 . 06.04.08 22:27 <DIR> d-------- C:\Programme\CCleaner
2008-04-06 22:17 . 06.04.08 22:17 <DIR> d-------- C:\_OTMoveIt

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2003-04-15 15:42 271 ---h--w C:\Programme\desktop.ini
2003-04-15 15:42 22,080 ---h--w C:\Programme\folder.htt
2002-11-04 12:54 3,392 ----a-w C:\WINNT\inf\OTHER\cmiainfo.sys
1999-12-10 10:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe]
"ATI Launchpad"="" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.06 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe]
"HTpatch"="C:\WINNT\htpatch.exe" [30.10.02 11:40 28672]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.10.02 21:00 294912]
"WinampAgent"="d:\Programme\Winamp\Winampa.exe" [02.04.03 04:20 12288]
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [11.09.02 18:01 155648]
"Cmaudio"="cmicnfg.cpl" []
"CTHelper"="CTHELPER.EXE" [28.08.03 10:45 24576 C:\WINNT\system32\CTHELPER.EXE]
"UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.00 01:00 90112]
"Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [29.11.01 01:00 28672]
"GhostStartTrayApp"="D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [28.01.04 16:14 94208]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.09.07 03:15 185632]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.12.07 19:13 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 12:05 189712]

C:\Dokumente und Einstellungen\Dennis Klimpel\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304]
Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk - C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe [2006-09-22 22:30:43 2502656]
Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2006-09-25 20:57:27 1470480]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm
"vidc.div2"= divxc32.dll
"vidc.div3"= divxc32.dll
"vidc.div4"= divxc32f.dll
"vidc.XVID"= xvid.dll
"vidc.RMP4"= rmp4.dll
"vidc.mjpg"= pvmjpg21.dll
"vidc.hfyu"= huffyuv.dll
"vidc.cdvc"= CSCCDVC.DLL
"msacm.pcdv"= pcdv.acm
"msacm.l3acm"= l3codeca.acm
"msacm.lameacm"= LameACM.acm
"msacm.qmpeg"= qmpeg.acm
"msacm.divxa32"= divxa32.acm
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll
"aux"= mmdrv.dll
"wave3"=
"wave4"=
"wave5"=
"wave6"=
"wave7"=
"wave8"=
"wave9"=
"midi3"=
"midi4"=
"midi5"=
"midi6"=
"midi7"=
"midi8"=
"midi9"=
"aux1"=
"aux2"=
"aux3"=
"aux4"=
"aux5"=
"aux6"=
"aux7"=
"aux8"=
"aux9"=
"mixer3"=
"mixer4"=
"mixer5"=
"mixer6"=
"mixer7"=
"mixer8"=
"mixer9"=
"VIDC.WMV3"= wmv9vcm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 13:03 ]
R1 GhPciScan;GhostPciScanner;D:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [17.12.03 15:41 ]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 12:05 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 22:53:27
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L?

Scanne versteckte Dateien...

C:\WINNT\system32ntos.exe 311296 bytes
C:\WINNT\system32wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 06.04.2008 22:54:17
ComboFix-quarantined-files.txt 2008-04-06 20:54:14
11 Verzeichnis(se), 1,237,864,448 Bytes frei
12 Verzeichnis(se), 1,232,883,712 Bytes frei


Und schließlich das log file von Hijack this:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:39, on 06.04.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
D:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Winamp\Winampa.exe
C:\WINNT\system32\CTHELPER.EXE
D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\WINNT\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk = C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5DCFF15-D5F0-4203-A1D5-C52C140647F5}: NameServer = 192.168.0.254
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 5916 bytes
Dieser Beitrag wurde am 06.04.2008 um 23:23 Uhr von Alanin editiert.
Seitenanfang Seitenende
06.04.2008, 23:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"

Zitat

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

««
dann wende noch mal Combofix an, denn ich will sehen, ob die

C:\WINNT\system32ntos.exe 311296 bytes
C:\WINNT\system32wsnpoem

File move failed. c:\winnt\system32\ntos.exe scheduled to be moved on reboot.
Folder move failed. c:\winnt\system32\wsnpoem scheduled to be moved on reboot.


nach neustart raus sind...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2008, 20:52
Member

Themenstarter

Beiträge: 14
#8 Hallo Sabina, hier das neue log file von combofix:


ComboFix 08-04-06.1 - xxx 07.04.2008 20:59:50.2 - [color=red]FAT32[/color]x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.87 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-07 bis 2008-04-07 ))))))))))))))))))))))))))))))
.

2008-04-07 20:59 . 07.04.08 20:59 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_314.dat
2008-04-06 23:07 . 06.04.08 23:07 <DIR> d-------- C:\Programme\Trend Micro
2008-04-06 22:39 . 07.04.08 20:54 3,375,239 --a------ C:\WINNT\{00000000-00000000-0000000A-00001102-00000002-80661102}.BAK
2008-04-06 22:27 . 06.04.08 22:27 <DIR> d-------- C:\Programme\CCleaner
2008-04-06 22:17 . 06.04.08 22:17 <DIR> d-------- C:\_OTMoveIt

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2003-04-15 15:42 271 ---h--w C:\Programme\desktop.ini
2003-04-15 15:42 22,080 ---h--w C:\Programme\folder.htt
2002-11-04 12:54 3,392 ----a-w C:\WINNT\inf\OTHER\cmiainfo.sys
1999-12-10 10:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe]
"ATI Launchpad"="" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.06 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe]
"HTpatch"="C:\WINNT\htpatch.exe" [30.10.02 11:40 28672]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.10.02 21:00 294912]
"WinampAgent"="d:\Programme\Winamp\Winampa.exe" [02.04.03 04:20 12288]
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [11.09.02 18:01 155648]
"Cmaudio"="cmicnfg.cpl" []
"CTHelper"="CTHELPER.EXE" [28.08.03 10:45 24576 C:\WINNT\system32\CTHELPER.EXE]
"UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.00 01:00 90112]
"Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [29.11.01 01:00 28672]
"GhostStartTrayApp"="D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [28.01.04 16:14 94208]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.09.07 03:15 185632]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.12.07 19:13 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 12:05 189712]

C:\Dokumente und Einstellungen\Dennis Klimpel\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304]
Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk - C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe [2006-09-22 22:30:43 2502656]
Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2006-09-25 20:57:27 1470480]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm
"vidc.div2"= divxc32.dll
"vidc.div3"= divxc32.dll
"vidc.div4"= divxc32f.dll
"vidc.XVID"= xvid.dll
"vidc.RMP4"= rmp4.dll
"vidc.mjpg"= pvmjpg21.dll
"vidc.hfyu"= huffyuv.dll
"vidc.cdvc"= CSCCDVC.DLL
"msacm.pcdv"= pcdv.acm
"msacm.l3acm"= l3codeca.acm
"msacm.lameacm"= LameACM.acm
"msacm.qmpeg"= qmpeg.acm
"msacm.divxa32"= divxa32.acm
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll
"aux"= mmdrv.dll
"wave3"=
"wave4"=
"wave5"=
"wave6"=
"wave7"=
"wave8"=
"wave9"=
"midi3"=
"midi4"=
"midi5"=
"midi6"=
"midi7"=
"midi8"=
"midi9"=
"aux1"=
"aux2"=
"aux3"=
"aux4"=
"aux5"=
"aux6"=
"aux7"=
"aux8"=
"aux9"=
"mixer3"=
"mixer4"=
"mixer5"=
"mixer6"=
"mixer7"=
"mixer8"=
"mixer9"=
"VIDC.WMV3"= wmv9vcm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 13:03 ]
R1 GhPciScan;GhostPciScanner;D:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [17.12.03 15:41 ]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 12:05 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-07 21:03:07
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L?

Scanne versteckte Dateien...

C:\WINNT\system32ntos.exe 311296 bytes
C:\WINNT\system32wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 07.04.2008 21:03:58
ComboFix-quarantined-files.txt 2008-04-07 19:03:54
ComboFix2.txt 2008-04-06 20:54:20
11 Verzeichnis(se), 1,247,154,176 Bytes frei
12 Verzeichnis(se), 1,238,937,600 Bytes frei
Seitenanfang Seitenende
07.04.2008, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 1.
Versuch, das zu Löschen:
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINNT\system32ntos.exe
C:\WINNT\system32wsnpoem
Klicke auf den Roten MoveIt!

poste, was rechts vom Proggie erscheint...also, ob geloscht wurde oder nicht...

--------------------------------------------------------------------------


2.
Versuch:
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

Killbox
http://virus-protect.org/killbox.html
"Delete on Reboot" und "Single File" anhaken + zu löschende Datei einkopieren

C:\WINNT\system32ntos.exe

klicken auf:

bestätigt man "all listed Files will be deleted on Next Reboot" mit "yes" und es wird neugestartet.

-------------
Killbox
es soll ein Programm mit allen Unterordnern gelöscht werden
- All Files-

All Files anklicken
einkopieren - löschen

C:\WINNT\system32wsnpoem

klicken auf:

----------------------------------------------------------------------

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte jedoch angehakt sein.

Script einkopieren

einkopieren:

Zitat

Files to delete:
C:\WINNT\system32ntos.exe

Folders to delete:
C:\WINNT\system32wsnpoem
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes
poste hier das log vom Avenger, was nach Neustart erscheint

4.
wende sdfix an (muss im abgesicherten modus sein)
http://virus-protect.org/artikel/tools/sdfix.html
poste dann nach neustart den report

»
+
poste ein neues Log von Combofix

------------

wenn das alles nix bringt (was wahrscheinlich ist... formatiere... wie schon geraten wurde, diese Version wird von Combofix nicht gelöscht, es fehlt der Querstrich "\" und wird somit nicht erkannt vom Scanner... ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2008, 23:49
Member

Themenstarter

Beiträge: 14
#10 Hallo Sabina,
Punkt 1-3 habe ich versucht, und es hat tatsächlich leider nicht funktioniert. Punkt 4 versuche ich morgen!
Ich möchte dir an dieser Stelle aber trotzdem DANKE!!! sagen für deine Hilfe.
Hab immerhin was dazugelernt!

liebe Grüße
Seitenanfang Seitenende
12.04.2008, 13:35
Member

Themenstarter

Beiträge: 14
#11 Hi, habe mit einem Tool von Mcafee (Rootkit Detector) die infizierten Dateien umbenennen lassen und sie anschließend mit Anti Vir entfernt. Hier das neue log file von Anti Vir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 12. April 2008 18:17

Es wird nach 1198942 Virenstämmen gesucht.

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOOF>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\ntos.exe.REN
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.nm
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 12. April 2008 18:30
Benötigte Zeit: 12:54 min

Der Suchlauf wurde vollständig durchgeführt.

1660 Verzeichnisse wurden überprüft
74350 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
74347 Dateien ohne Befall
443 Archive wurden durchsucht
2 Warnungen
0 Hinweise
19609 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Der Scanner hat auch combofix erkannt, das habe ich aber ignoriert.
Ist der Trojaner damit erledigt? oder kann jemand noch etwas entdecken?


lg Alanin
Dieser Beitrag wurde am 13.04.2008 um 04:43 Uhr von Alanin editiert.
Seitenanfang Seitenende
12.04.2008, 19:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wende noch mal sdfix an (muss im abgesicherten modus sein)
http://virus-protect.org/artikel/tools/sdfix.html
poste dann nach neustart den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2008, 02:09
Member

Themenstarter

Beiträge: 14
#13 Hi Sabina, waren die anderen beiden Funde von Anti Vir auf Einträge von combofix zurückzuführen?
Hier das neue logfile von sdfix:


SDFix: Version 1.167
Run by xxx on So 13.04.2008 at 2:17

Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-13 02:19:58
Windows 5.0.2195 Service Pack 4 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L?

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 13 Jan 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 27 Jan 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off3.tmp"
Tue 27 Jan 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off2.tmp"
Fri 7 May 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off4.tmp"
Fri 7 May 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off5.tmp"
Fri 7 May 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off6.tmp"
Wed 17 Dec 2003 8,544 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Elndis.sys"
Wed 17 Dec 2003 33,149 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Usbd.sys"
Wed 17 Dec 2003 29,628 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPICD.SYS"
Wed 17 Dec 2003 161,792 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BOOTSRV.SYS"
Wed 17 Dec 2003 202,517 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS.EXE"
Wed 17 Dec 2003 22,158 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\COUNTRY.SYS"
Wed 17 Dec 2003 1,608 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DEVICE.COM"
Wed 17 Dec 2003 15,345 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DISPLAY.SYS"
Wed 17 Dec 2003 14,160 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\HIMEM.SYS"
Wed 17 Dec 2003 10,898 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYB.COM"
Wed 17 Dec 2003 53,556 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYBOARD.SYS"
Wed 17 Dec 2003 15,777 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MODE.COM"
Wed 17 Dec 2003 37,681 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MOUSE.COM"
Wed 17 Dec 2003 21,180 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MSCDEX.EXE"
Wed 17 Dec 2003 8,513 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\NETBIND.COM"
Wed 17 Dec 2003 129,240 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OHCI.EXE"
Wed 17 Dec 2003 28,439 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Paralink.com"
Wed 17 Dec 2003 13,770 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\PROTMAN.EXE"
Wed 17 Dec 2003 130,980 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\UHCI.EXE"
Wed 17 Dec 2003 174,080 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\bootsrv16.sys"
Wed 17 Dec 2003 354,304 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\msbootsrv16.sys"
Wed 17 Dec 2003 56,821 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\E.EXE"
Wed 17 Dec 2003 354,263 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Net.exe"
Wed 17 Dec 2003 7,840 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DLSHELP.SYS"
Wed 17 Dec 2003 374,038 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS16.EXE"
Wed 17 Dec 2003 49,250 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIOHCI.SYS"
Wed 17 Dec 2003 52,106 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIEHCI.SYS"
Wed 17 Dec 2003 51,150 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI1394.SYS"
Wed 17 Dec 2003 32,396 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\GUEST.EXE"
Wed 17 Dec 2003 50,600 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIUHCI.SYS"
Wed 17 Dec 2003 35,340 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI2DOS.SYS"
Wed 17 Dec 2003 14,378 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI4DOS.SYS"
Wed 17 Dec 2003 37,984 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8DOS.SYS"
Wed 17 Dec 2003 44,828 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8U2.SYS"
Wed 17 Dec 2003 21,971 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTCDROM.SYS"
Wed 17 Dec 2003 30,955 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTDOSM.SYS"
Wed 17 Dec 2003 64,425 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\FLASHPT.SYS"
Wed 17 Dec 2003 41,302 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OAKCDROM.SYS"
Wed 17 Dec 2003 17,043 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DE400 Packet\De400pd.com"
Wed 17 Dec 2003 11,491 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DMF560-TX Packet\Lmpd.com"
Wed 17 Dec 2003 17,791 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DT620 Packet\Dt620pd.com"
Wed 17 Dec 2003 11,786 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\IBM Crystal LAN Packet\Epktisa.com"
Wed 17 Dec 2003 18,300 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Kingston EtheRx KNE110TX Packet\Ktc110p.com"
Wed 17 Dec 2003 13,360 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-CDF Packet\Ldcdt.com"
Wed 17 Dec 2003 9,190 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-PCI2TL Packet\Ldpcil.com"
Wed 17 Dec 2003 12,567 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Melco LPC2-T\Lpchkat2.com"
Wed 17 Dec 2003 44,640 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\FETPKT.COM"
Wed 17 Dec 2003 56,896 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\Rtspkt.com"
Wed 17 Dec 2003 9,692 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\PXE Packet Driver\Undipd.com"
Wed 17 Dec 2003 32,484 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\WaveLAN Packet\Wvlan42.com"
Wed 17 Dec 2003 50,795 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe"
Wed 17 Dec 2003 48,223 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX Packet\Cbepd.com"
Wed 17 Dec 2003 48,641 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe"
Wed 17 Dec 2003 49,015 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS Packet\Xpspd.com"
Wed 17 Dec 2003 33,860 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe"
Wed 17 Dec 2003 50,405 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10 - RE100 Packet\Ce3pd.com"
Wed 17 Dec 2003 48,491 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe"
Wed 17 Dec 2003 44,640 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FNW9x00T - ENW8300T Packet\fetpkt.com"
Wed 17 Dec 2003 52,225 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe"
Wed 17 Dec 2003 50,175 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe"
Wed 17 Dec 2003 12,732 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c509 Packet\3C5X9PD.COM"
Wed 17 Dec 2003 26,424 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c59x Packet\3C59XPD.COM"
Wed 17 Dec 2003 17,952 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1200 Packet\EC32PD.COM"
Wed 17 Dec 2003 29,499 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1203 Packet\PCIPD.COM"
Wed 17 Dec 2003 12,660 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1204 Packet\VLNWPD.COM"
Wed 17 Dec 2003 11,031 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207 Packet\PCIPD.COM"
Wed 17 Dec 2003 10,710 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207C Packet\PCIPD.COM"
Wed 17 Dec 2003 10,083 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207D Packet\ACCPKT.COM"
Wed 17 Dec 2003 28,062 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207F Packet\EN5251PD.COM"
Wed 17 Dec 2003 10,257 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207TX Packet\PCIPD.COM"
Wed 17 Dec 2003 9,424 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1208 Packet\1208PD.COM"
Wed 17 Dec 2003 7,463 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1625 Packet\NEPD.COM"
Wed 17 Dec 2003 13,673 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1640 Packet\NWPD.COM"
Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1651 Packet\NWPD.COM"
Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1652 Packet\NWPD.COM"
Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1650 Packet\NWPD.COM"
Wed 17 Dec 2003 7,243 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1653 Packet\NE2PD.COM"
Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1656 Packet\NWPD.COM"
Wed 17 Dec 2003 14,438 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1657 Packet\NWPD.COM"
Wed 17 Dec 2003 14,438 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1658 Packet\NWPD.COM"
Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN166X Packet\NWPD.COM"
Wed 17 Dec 2003 24,767 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2216 Packet\PCMPD.COM"
Wed 17 Dec 2003 25,460 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2218 Packet\PCMPD.COM"
Wed 17 Dec 2003 10,286 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2228 Packet\PCMPD.COM"
Wed 17 Dec 2003 28,866 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2320 Packet\EN5251PD.COM"
Wed 17 Dec 2003 11,854 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWorks ISA (DE305) Packet\DE305.COM"
Wed 17 Dec 2003 62,391 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE500 Packet\DE500.COM"
Wed 17 Dec 2003 52,715 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE450 Packet\DE450.COM"
Wed 17 Dec 2003 48,224 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD 10-100AL Packet\L100al.com"
Wed 17 Dec 2003 9,537 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\SN 2000p Packet\PNPPD.COM"
Wed 17 Dec 2003 65,088 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c556 Packet\3C556.COM"
Wed 17 Dec 2003 53,786 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\command.com"
Wed 17 Dec 2003 44,240 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMBIO.COM"
Wed 17 Dec 2003 42,550 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMDOS.COM"

Finished!
Seitenanfang Seitenende
13.04.2008, 11:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 o.k.
nun poste das neue Log von Combofix ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2008, 20:49
Member

Themenstarter

Beiträge: 14
#15 Hi Sabina, im combofix report wird noch eine versteckte Datei angezeigt. Stammt die evt. von combifix selbst?

hier der Report:


ComboFix 08-04-06.1 - xxx 13.04.2008 20:57:30.4 - [color=red]FAT32[/color]x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.97 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-13 bis 2008-04-13 ))))))))))))))))))))))))))))))
.

2008-04-13 20:57 . 13.04.08 20:57 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_2f8.dat
2008-04-13 02:37 . 13.04.08 02:37 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-12 13:33 . 12.04.08 13:33 <DIR> d-------- C:\WINNT\ERUNT
2008-04-08 23:29 . 07.04.08 12:19 <DIR> d-------- C:\SDFix
2008-04-08 22:56 . 08.04.08 22:56 <DIR> d-------- C:\!KillBox
2008-04-06 23:07 . 06.04.08 23:07 <DIR> d-------- C:\Programme\Trend Micro
2008-04-06 22:39 . 13.04.08 05:12 3,375,239 --a------ C:\WINNT\{00000000-00000000-0000000A-00001102-00000002-80661102}.BAK
2008-04-06 22:27 . 06.04.08 22:27 <DIR> d-------- C:\Programme\CCleaner
2008-04-06 22:17 . 06.04.08 22:17 <DIR> d-------- C:\_OTMoveIt

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2003-04-15 15:42 271 ---h--w C:\Programme\desktop.ini
2003-04-15 15:42 22,080 ---h--w C:\Programme\folder.htt
2002-11-04 12:54 3,392 ----a-w C:\WINNT\inf\OTHER\cmiainfo.sys
1999-12-10 10:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot@So 06.04.2008_22.53.44,98 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-07 10:18:22 163,328 ----a-w C:\WINNT\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-13 00:15:38 3,178,496 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-04-13 00:15:38 8,192 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-07 10:18:22 163,328 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-12 11:33:48 3,137,536 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-04-12 11:33:48 8,192 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe]
"ATI Launchpad"="" []
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.06 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.08 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe]
"HTpatch"="C:\WINNT\htpatch.exe" [30.10.02 11:40 28672]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.10.02 21:00 294912]
"WinampAgent"="d:\Programme\Winamp\Winampa.exe" [02.04.03 04:20 12288]
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [11.09.02 18:01 155648]
"Cmaudio"="cmicnfg.cpl" []
"CTHelper"="CTHELPER.EXE" [28.08.03 10:45 24576 C:\WINNT\system32\CTHELPER.EXE]
"UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.00 01:00 90112]
"Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [29.11.01 01:00 28672]
"GhostStartTrayApp"="D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [28.01.04 16:14 94208]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.09.07 03:15 185632]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.12.07 19:13 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 12:05 189712]

C:\Dokumente und Einstellungen\Dennis Klimpel\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304]
Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk - C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe [2006-09-22 22:30:43 2502656]
Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2006-09-25 20:57:27 1470480]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm
"vidc.div2"= divxc32.dll
"vidc.div3"= divxc32.dll
"vidc.div4"= divxc32f.dll
"vidc.XVID"= xvid.dll
"vidc.RMP4"= rmp4.dll
"vidc.mjpg"= pvmjpg21.dll
"vidc.hfyu"= huffyuv.dll
"vidc.cdvc"= CSCCDVC.DLL
"msacm.pcdv"= pcdv.acm
"msacm.l3acm"= l3codeca.acm
"msacm.lameacm"= LameACM.acm
"msacm.qmpeg"= qmpeg.acm
"msacm.divxa32"= divxa32.acm
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll
"aux"= mmdrv.dll
"wave3"=
"wave4"=
"wave5"=
"wave6"=
"wave7"=
"wave8"=
"wave9"=
"midi3"=
"midi4"=
"midi5"=
"midi6"=
"midi7"=
"midi8"=
"midi9"=
"aux1"=
"aux2"=
"aux3"=
"aux4"=
"aux5"=
"aux6"=
"aux7"=
"aux8"=
"aux9"=
"mixer3"=
"mixer4"=
"mixer5"=
"mixer6"=
"mixer7"=
"mixer8"=
"mixer9"=
"VIDC.WMV3"= wmv9vcm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 13:03 ]
R1 GhPciScan;GhostPciScanner;D:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [17.12.03 15:41 ]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 12:05 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-13 20:59:15
Windows 5.0.2195 Service Pack 4 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L?

Scanne versteckte Dateien...

C:\WINNT\system32Perflib_Perfdata_3d8.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 13.04.2008 20:59:31
ComboFix-quarantined-files.txt 2008-04-13 18:59:30
ComboFix4.txt 2008-04-06 20:54:20
ComboFix3.txt 2008-04-07 19:04:02
ComboFix2.txt 2008-04-07 20:00:06
14 Verzeichnis(se), 1,045,860,352 Bytes frei
15 Verzeichnis(se), 1,037,369,344 Bytes frei
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: