Ad-Aware meldet 2 Trojaner: "Hi-Wire"&"WhenUSaveNow".Bitte Logfile auswerten.

#1 Hallo,
Der Rechner ist seit längerem extrem langsam und beim Suchlauf von Ad-Aware wurden 2 Trojaner gefunden: Hi-Wire&WhenUSaveNow.
Nach dem löschen der Trojaner tauchten sie beim nächsten Suchlauf wiederholt auf.
C Cleanerhabe ich schon drüberlaufen lassen,sowie defragmentiert.
Wer kann helfen?
Vielen Dank im vorraus!
Gruß arthus

Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:39, on 22.4.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ****://***.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - file:**C:\program files\Musicmatch\Musicmatch Update\MMJB\msxml3.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)

--
End of file - 4560 bytes

#2 Start-->Ausführen kopiere rein:
sc stop "dllmgr64"
Klicke OK

Nochmal dasselbe,kopiere rein:

sc delete "dllmgr64"
Klicke OK

Mach dasselbe mit

sc stop "fwnet"
sc delete "fwnet"

sc stop "netconf32"
sc delete "netconf32"

Es werden zwei Virenscanner benutzt!

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Wichtig:Rechner neu Starten

Java
Seh in meine Signatur

Und besuche mal Windows Update
__________
MfG Argus

#3 Hallo Arnold,
danke für die schnelle Hilfe!
Habe soweit alles "befolgt".
Der Rechner ist etwas schneller,doch so ganz "normal" läuft der noch nicht.
Hast Du noch eine Idee?
Und ich habe Einträge von ICQ gesehen,dachte eigentlich ich hätte es komplett deinstalliert! Sind die Einträge noch relevant?
Ich benutze nur ein Virenprogramm,das andere ist gar nicht aktiv und eigentlich ebenfalls deinstalliert(das von antivir).
MfG arthus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:48:38, on 23.4.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ****:/****.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ****://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208902186686
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - file:**C:\program files\Musicmatch\Musicmatch Update\MMJB\msxml3.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 4461 bytes

#4 Start-->Ausführen kopiere rein:
sc stop "fwnet64"
Klicke OK

Nochmal dasselbe kopiere rein:

sc delete "fwnet64"
Klicke OK
Mach dasselbe mit
sc stop " AVWUpSrv"
sc delete " AVWUpSrv"

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Malwarebytes Anti-Malware
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
__________
MfG Argus

#5 Hallo arnold,
habe soweit alles erledigt!
Hier die Logs:
ComboFix 08-04-22.3 - admin 2008-04-23 11:28:07.1 - [color=red]FAT32[/color]x86
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\start.exe
C:\WINDOWS\system32\Config.ini
C:\WINDOWS\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-23 bis 2008-04-23 ))))))))))))))))))))))))))))))
.

2008-04-23 11:09 . 2008-04-23 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Malwarebytes
2008-04-23 11:08 . 2008-04-23 11:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-23 11:08 . 2008-04-23 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-23 01:06 . 2008-04-23 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Apple Computer
2008-04-23 00:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl
2008-04-23 00:11 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\SYSTEM32\wups2.dll
2008-04-23 00:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-04-23 00:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-04-23 00:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-04-23 00:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-04-23 00:09 . 2008-04-23 00:09 <DIR> d---s---- C:\Dokumente und Einstellungen\admin\UserData
2008-04-22 23:57 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\SYSTEM32\javacpl.cpl
2008-04-22 18:05 . 2008-04-22 18:05 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-22 17:11 . 2008-04-22 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Lavasoft
2008-04-22 16:33 . 2008-04-22 16:34 <DIR> d-------- C:\Programme\Trend Micro
2008-04-22 16:00 . 2008-04-22 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\AVG7
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Vorlagen
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Startmen�
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Netzwerkumgebung
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Favoriten
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Druckumgebung
2008-04-22 15:59 . 2007-11-08 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\DivX
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\admin
2008-04-22 15:59 . 2004-12-02 16:15 1,024 --ah----- C:\Dokumente und Einstellungen\admin\ntuser.dat.ref.LOG
2008-04-22 15:59 . 2008-04-23 11:38 1,024 --ah----- C:\Dokumente und Einstellungen\admin\ntuser.dat.LOG
2008-04-22 14:45 . 2008-04-22 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\InstallShield
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Programme\Lavasoft
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-10 10:53 . 2008-04-10 10:53 <DIR> d-------- C:\Dokumente und Einstellungen\GROEGER MAJA\Anwendungsdaten\deltra Software GmbH
2008-04-10 10:53 . 2008-04-10 10:53 <DIR> d-------- C:\Dokumente und Einstellungen\GROEGER MAJA\Anwendungsdaten\Buhl Data Service GmbH
2008-03-27 17:52 . 2008-03-27 17:52 39 --a------ C:\WINDOWS\MV.ini
2008-03-27 17:50 . 2008-03-27 17:51 247 --a------ C:\WINDOWS\BUHL.INI
2008-03-27 17:47 . 2008-03-27 17:46 649,216 --a------ C:\WINDOWS\fpuninst.exe
2008-03-27 17:46 . 2008-03-27 17:46 <DIR> d-------- C:\Programme\letstrade
2008-03-27 17:46 . 2008-03-27 17:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DataDesign
2008-03-27 17:46 . 2008-03-27 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications
2008-03-27 17:46 . 2007-08-30 12:53 832,776 --------- C:\WINDOWS\SYSTEM32\ddbaccpl.cpl
2008-03-27 17:46 . 2007-08-30 12:53 226,568 --------- C:\WINDOWS\SYSTEM32\ddbacctm.cpl
2008-03-27 17:45 . 2008-03-27 17:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\buhl data service
2008-03-27 17:45 . 2008-03-27 17:45 <DIR> d-------- C:\Programme\Buhl
2008-03-27 17:45 . 2002-08-23 09:00 4,082,688 --a------ C:\WINDOWS\SYSTEM32\qtintf70.dll
2008-03-26 17:01 . 2008-03-26 17:01 <DIR> d--hs---- C:\FOUND.000
2008-03-23 14:32 . 2008-03-23 14:32 <DIR> d-------- C:\Programme\MGS Member Manager
4 Datei(en) . 1,575,104 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2005-02-08 12:14 410,347 ----a-w C:\Programme\defs.ref
2004-12-21 13:45 3,926 ------w C:\Programme\INSTALL.LOG
2004-11-28 13:22 266 --sh--w C:\Programme\desktop.ini
2004-11-28 13:22 11,253 ---h--w C:\Programme\folder.htt
2004-08-06 15:58 5,784 ------w C:\Programme\license.txt
2004-08-06 09:01 161,792 ------w C:\Programme\unregaaw.exe
2001-05-31 02:17 26,624 ------w C:\Programme\alert.wav
.

------- Sigcheck -------

2001-08-23 12:00 430080 2b0e480e975ee51f2d5ce5f068fed6e2 C:\WINDOWS\SYSTEM32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-18 15:13 579584]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-31 15:53 185896]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [ ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"ELSAChipGuard"=C:\WINDOWS\ELSAUTIL\elsavect.exe
"ELSA WINman Suite"=C:\WINDOWS\ELSAutil\WINMSUIT.EXE /startup
"SO5 Integrator Pass Two"=C:\WINDOWS\SOINTGR.EXE
"MMTray"=C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
"AVGCtrl"="C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min

R2 A4S2;A4S2;C:\WINDOWS\System32\drivers\a4s2.sys [1997-05-12 10:51]
R2 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE" [2004-12-07 14:26]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\System32\DRIVERS\AVMCOWAN.sys [2003-06-18 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\System32\drivers\es1969.sys [2001-08-17 12:19]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\System32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
S2 fwnet;fwnet64;"C:\WINDOWS\fwnet64.exe" []
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS []
S4 dllmgr64;dllmgr64;"C:\WINDOWS\dllmgr64.exe" []
S4 netconf32;netconf32;"C:\WINDOWS\netconf32.exe" []

.
Inhalt des "geplante Tasks" Ordners
"2008-02-06 17:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
"2008-03-08 10:41:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ****://***.gmer.net
Rootkit scan 2008-04-23 11:38:51
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-23 11:41:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-23 09:41:02

19 Verzeichnis(se), 3,161,169,920 Bytes frei
47 Verzeichnis(se), 3,756,736,512 Bytes frei

147



Malwarebytes' Anti-Malware 1.11
Datenbank Version: 672

Scan Art: Schnell Scan
Objekte gescannt: 38931
Scan Dauer: 13 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:14, on 23.4.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://******.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****//go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - *****://****.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208902186686
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - file:***C:\program files\Musicmatch\Musicmatch Update\MMJB\msxml3.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 4238 bytes

Meinst Du jetzt ist der Rechner sauber?
Gruß arthus

#6 Hallo,

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

fwnet64

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

das gleiche danach bitte mit:

dllmgr64

netconf32

-------------------------------------------------
2.
wende sdfix an , muss im abgesicherten Modus sein
http://virus-protect.org/artikel/tools/sdfix.html

RunThis.bat doppelt klicken - poste dann nach Neustart in den Normalmodus den Report
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,
so,alles erledigt.Ich hoffe es :-)
Ich hatte alerdings den eindruck, dass sdfix nicht richtig läuft.
Sind meine Einstellungen richtig?
Gruß arthus


SDFix: Version 1.173
Run by admin on Mi 23.04.2008 at 20:41

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\admin\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\UNINS.EXE - Deleted
C:\WINDOWS\system32\TFTP1956 - Deleted
C:\WINDOWS\system32\TFTP1400 - Deleted
C:\WINDOWS\system32\TFTP296 - Deleted
C:\WINDOWS\system32\i - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***://****.gmer.net
Rootkit scan 2008-04-23 21:41:38
Windows 5.1.2600 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"c:\\bm22.exe"="C:\\bm22.exe:*:Enabled:Server"

Remaining Files :


File Backups: - C:\DOKUME~1\admin\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 5 Mar 2006 4,348 ..SH. --- "C:\WINDOWS\All Users\DRM\DRMv1.bak"
Tue 8 May 2007 20 ...H. --- "C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Musik\License Backup\drmv1lic.bak"
Sun 5 Mar 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Musik\License Backup\drmv1key.bak"
Tue 8 May 2007 1,536 ...H. --- "C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Musik\License Backup\drmv2lic.bak"
Sun 5 Mar 2006 400 ...H. --- "C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Musik\License Backup\drmv2key.bak"

Finished!

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.4.2008 20:14:24 for strings:
; 'netconf32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32\0000]
"Service"="netconf32"
"DeviceDesc"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32]
; Contents of value:
; "C:\WINDOWS\netconf32.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,6e,00,65,00,74,00,63,00,6f,00,6e,00,66,00,33,00,32,00,2e,00,65,\
00,78,00,65,00,22,00,00,00
"DisplayName"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32\Enum]
"0"="Root\\LEGACY_NETCONF32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32\0000]
"Service"="netconf32"
"DeviceDesc"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32]
; Contents of value:
; "C:\WINDOWS\netconf32.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,6e,00,65,00,74,00,63,00,6f,00,6e,00,66,00,33,00,32,00,2e,00,65,\
00,78,00,65,00,22,00,00,00
"DisplayName"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32\0000]
"Service"="netconf32"
"DeviceDesc"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32]
; Contents of value:
; "C:\WINDOWS\netconf32.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,6e,00,65,00,74,00,63,00,6f,00,6e,00,66,00,33,00,32,00,2e,00,65,\
00,78,00,65,00,22,00,00,00
"DisplayName"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32\Enum]
"0"="Root\\LEGACY_NETCONF32\\0000"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.4.2008 20:05:01 for strings:
; 'fwnet64'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWNET\0000]
"DeviceDesc"="fwnet64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwnet]
; Contents of value:
; "C:\WINDOWS\fwnet64.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,66,00,77,00,6e,00,65,00,74,00,36,00,34,00,2e,00,65,00,78,00,65,\
00,22,00,00,00
"DisplayName"="fwnet64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWNET\0000]
"DeviceDesc"="fwnet64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fwnet]
; Contents of value:
; "C:\WINDOWS\fwnet64.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,66,00,77,00,6e,00,65,00,74,00,36,00,34,00,2e,00,65,00,78,00,65,\
00,22,00,00,00
"DisplayName"="fwnet64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWNET\0000]
"DeviceDesc"="fwnet64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwnet]
; Contents of value:
; "C:\WINDOWS\fwnet64.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,66,00,77,00,6e,00,65,00,74,00,36,00,34,00,2e,00,65,00,78,00,65,\
00,22,00,00,00
"DisplayName"="fwnet64"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc stop \"fwnet64\"\\1"
"b"="sc delete \"fwnet64\"\\1"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 23.4.2008 20:11:51 for strings:
; 'netconf32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32\0000]
"Service"="netconf32"
"DeviceDesc"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32]
; Contents of value:
; "C:\WINDOWS\netconf32.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,6e,00,65,00,74,00,63,00,6f,00,6e,00,66,00,33,00,32,00,2e,00,65,\
00,78,00,65,00,22,00,00,00
"DisplayName"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32\Enum]
"0"="Root\\LEGACY_NETCONF32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32\0000]
"Service"="netconf32"
"DeviceDesc"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32]
; Contents of value:
; "C:\WINDOWS\netconf32.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,6e,00,65,00,74,00,63,00,6f,00,6e,00,66,00,33,00,32,00,2e,00,65,\
00,78,00,65,00,22,00,00,00
"DisplayName"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32\0000]
"Service"="netconf32"
"DeviceDesc"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32]
; Contents of value:
; "C:\WINDOWS\netconf32.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,6e,00,65,00,74,00,63,00,6f,00,6e,00,66,00,33,00,32,00,2e,00,65,\
00,78,00,65,00,22,00,00,00
"DisplayName"="netconf32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32\Enum]
"0"="Root\\LEGACY_NETCONF32\\0000"

; End Of The Log...

#8 Hallo,

auf deinem System hingen anonyme FTP-Server und Backdoors wie Zecken, hatten vollen Zugriff auf dein Ststem, konnten alles runterladen usw..

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"c:\bm22.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETCONF32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\netconf32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETCONF32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\netconf32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETCONF32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netconf32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWNET]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwnet]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWNET]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fwnet]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWNET]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwnet]

File::
c:\bm22.exe
C:\WINDOWS\netconf32.exe
C:\WINDOWS\fwnet64.exe

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications

boote in den abgesicherten modus

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

---------------------
««
kopiere noch mal die Daten vom obrigen Beitrag zurÜberprüfung ein
in
http://virus-protect.org/artikel/tools/regsearch.html

fwnet64

dllmgr64

netconf32

-----------------------

««
poste alles Daten bis Juni 2007 (sind nach Datum geordnet)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo,
das hört sich ja erschrekend an!
habe soweit alles erledigt.
Bei regsearch hat sich das Programm 2x aufgehängt.Konnte es nur für eins laufen lassen! Ich poste trozdem alles.
Gruß arthus

ComboFix 08-04-22.3 - admin 2008-04-24 1:32:03.3 - [color=red]FAT32[/color]x86
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-23 bis 2008-04-23 ))))))))))))))))))))))))))))))
.

2008-04-23 20:39 . 2008-04-23 20:39 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-23 11:09 . 2008-04-23 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Malwarebytes
2008-04-23 11:08 . 2008-04-23 11:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-23 11:08 . 2008-04-23 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-23 01:06 . 2008-04-23 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Apple Computer
2008-04-23 00:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl
2008-04-23 00:11 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\SYSTEM32\wups2.dll
2008-04-23 00:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-04-23 00:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-04-23 00:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-04-23 00:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-04-23 00:09 . 2008-04-23 00:09 <DIR> d---s---- C:\Dokumente und Einstellungen\admin\UserData
2008-04-22 23:57 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\SYSTEM32\javacpl.cpl
2008-04-22 18:05 . 2008-04-22 18:05 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-22 17:11 . 2008-04-22 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Lavasoft
2008-04-22 16:33 . 2008-04-22 16:34 <DIR> d-------- C:\Programme\Trend Micro
2008-04-22 16:00 . 2008-04-22 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\AVG7
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Vorlagen
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Startmen�
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Netzwerkumgebung
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Favoriten
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Druckumgebung
2008-04-22 15:59 . 2007-11-08 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\DivX
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\admin
2008-04-22 15:59 . 2004-12-02 16:15 1,024 --ah----- C:\Dokumente und Einstellungen\admin\ntuser.dat.ref.LOG
2008-04-22 15:59 . 2008-04-24 01:39 1,024 --ah----- C:\Dokumente und Einstellungen\admin\ntuser.dat.LOG
2008-04-22 14:45 . 2008-04-22 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\InstallShield
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Programme\Lavasoft
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-10 10:53 . 2008-04-10 10:53 <DIR> d-------- C:\Dokumente und Einstellungen\GROEGER MAJA\Anwendungsdaten\deltra Software GmbH
2008-04-10 10:53 . 2008-04-10 10:53 <DIR> d-------- C:\Dokumente und Einstellungen\GROEGER MAJA\Anwendungsdaten\Buhl Data Service GmbH
2008-03-27 17:52 . 2008-03-27 17:52 39 --a------ C:\WINDOWS\MV.ini
2008-03-27 17:50 . 2008-03-27 17:51 247 --a------ C:\WINDOWS\BUHL.INI
2008-03-27 17:47 . 2008-03-27 17:46 649,216 --a------ C:\WINDOWS\fpuninst.exe
2008-03-27 17:46 . 2008-03-27 17:46 <DIR> d-------- C:\Programme\letstrade
2008-03-27 17:46 . 2008-03-27 17:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DataDesign
2008-03-27 17:46 . 2007-08-30 12:53 832,776 --------- C:\WINDOWS\SYSTEM32\ddbaccpl.cpl
2008-03-27 17:46 . 2007-08-30 12:53 226,568 --------- C:\WINDOWS\SYSTEM32\ddbacctm.cpl
2008-03-27 17:45 . 2008-03-27 17:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\buhl data service
2008-03-27 17:45 . 2008-03-27 17:45 <DIR> d-------- C:\Programme\Buhl
2008-03-27 17:45 . 2002-08-23 09:00 4,082,688 --a------ C:\WINDOWS\SYSTEM32\qtintf70.dll
2008-03-26 17:01 . 2008-03-26 17:01 <DIR> d--hs---- C:\FOUND.000
2008-03-23 14:32 . 2008-03-23 14:32 <DIR> d-------- C:\Programme\MGS Member Manager
4 Datei(en) . 1,575,104 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2005-02-08 12:14 410,347 ----a-w C:\Programme\defs.ref
2004-12-21 13:45 3,926 ------w C:\Programme\INSTALL.LOG
2004-11-28 13:22 266 --sh--w C:\Programme\desktop.ini
2004-11-28 13:22 11,253 ---h--w C:\Programme\folder.htt
2004-08-06 15:58 5,784 ------w C:\Programme\license.txt
2004-08-06 09:01 161,792 ------w C:\Programme\unregaaw.exe
2001-05-31 02:17 26,624 ------w C:\Programme\alert.wav
.

------- Sigcheck -------

2001-08-23 12:00 430080 2b0e480e975ee51f2d5ce5f068fed6e2 C:\WINDOWS\SYSTEM32\winlogon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-04-23_11.40.36.95 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-23 09:33:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-23 23:37:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-21 00:32:38 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-04-23 18:39:54 1,540,096 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-04-23 18:39:54 143,360 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-04-21 00:32:38 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-04-23 18:39:44 1,540,096 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-04-23 18:39:46 143,360 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
- 2008-04-23 09:37:38 46,690 ----a-w C:\WINDOWS\SYSTEM32\perfc007.dat
+ 2008-04-23 23:26:32 46,690 ----a-w C:\WINDOWS\SYSTEM32\perfc007.dat
- 2008-04-23 09:37:38 38,604 ----a-w C:\WINDOWS\SYSTEM32\perfc009.dat
+ 2008-04-23 23:26:32 38,604 ----a-w C:\WINDOWS\SYSTEM32\perfc009.dat
- 2008-04-23 09:37:38 313,310 ----a-w C:\WINDOWS\SYSTEM32\perfh007.dat
+ 2008-04-23 23:26:32 313,310 ----a-w C:\WINDOWS\SYSTEM32\perfh007.dat
- 2008-04-23 09:37:38 308,222 ----a-w C:\WINDOWS\SYSTEM32\perfh009.dat
+ 2008-04-23 23:26:32 308,222 ----a-w C:\WINDOWS\SYSTEM32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-18 15:13 579584]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-31 15:53 185896]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [ ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"ELSAChipGuard"=C:\WINDOWS\ELSAUTIL\elsavect.exe
"ELSA WINman Suite"=C:\WINDOWS\ELSAutil\WINMSUIT.EXE /startup
"SO5 Integrator Pass Two"=C:\WINDOWS\SOINTGR.EXE
"MMTray"=C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
"AVGCtrl"="C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min

R2 A4S2;A4S2;C:\WINDOWS\System32\drivers\a4s2.sys [1997-05-12 10:51]
R2 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE" [2004-12-07 14:26]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\System32\DRIVERS\AVMCOWAN.sys [2003-06-18 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\System32\drivers\es1969.sys [2001-08-17 12:19]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\System32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS []
S4 dllmgr64;dllmgr64;"C:\WINDOWS\dllmgr64.exe" []

.
Inhalt des "geplante Tasks" Ordners
"2008-02-06 17:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
"2008-03-08 10:41:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ****://***.gmer.net
Rootkit scan 2008-04-24 01:38:47
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 1:42:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-23 23:41:56
ComboFix3.txt 2008-04-23 09:41:18
ComboFix2.txt 2008-04-23 23:28:50

19 Verzeichnis(se), 3,627,655,168 Bytes frei
47 Verzeichnis(se), 3,619,872,768 Bytes frei

160



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.4.2008 01:47:11 for strings:
; 'dllmgr64'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64\0000]
"Service"="dllmgr64"
"DeviceDesc"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64]
; Contents of value:
; "C:\WINDOWS\dllmgr64.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,64,00,6c,00,6c,00,6d,00,67,00,72,00,36,00,34,00,2e,00,65,00,78,\
00,65,00,22,00,00,00
"DisplayName"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64\Enum]
"0"="Root\\LEGACY_DLLMGR64\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64\0000]
"Service"="dllmgr64"
"DeviceDesc"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64]
; Contents of value:
; "C:\WINDOWS\dllmgr64.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,64,00,6c,00,6c,00,6d,00,67,00,72,00,36,00,34,00,2e,00,65,00,78,\
00,65,00,22,00,00,00
"DisplayName"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64\0000]
"Service"="dllmgr64"
"DeviceDesc"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64]
; Contents of value:
; "C:\WINDOWS\dllmgr64.exe"
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,64,00,6c,00,6c,00,6d,00,67,00,72,00,36,00,34,00,2e,00,65,00,78,\
00,65,00,22,00,00,00
"DisplayName"="dllmgr64"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64\Enum]
"0"="Root\\LEGACY_DLLMGR64\\0000"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.4.2008 01:51:08 for strings:
; 'netconf32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.4.2008 01:49:28 for strings:
; 'fwnet64'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc stop \"fwnet64\"\\1"
"b"="sc delete \"fwnet64\"\\1"

; End Of The Log...




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3526-160C

Verzeichnis von c:\

24.04.2008 08:02 0 dirdat.txt
24.04.2008 01:42 10.965 ComboFix.txt
08.11.2007 12:56 208 desktop.ini
08.11.2007 12:56 1.503 Remoteunterst�tzung.lnk
08.11.2007 12:48 194 boot.ini
27.08.2007 17:26 2.171 _audioscrobbler.log
17.05.2007 21:37 1.893 INSTALL.LOG
14.01.2007 00:39 93.343 playground.log
26.11.2006 19:48 3.133 Save01.lsd
11.07.2006 22:43 422 sig
30.01.2006 12:24 12.006.693 AVG7QT.DAT
30.01.2006 11:25 166 FritzUninst.log
30.10.2005 11:57 85 QUIZDG1.BAT
11.06.2005 17:42 270.336 log.txt
27.04.2005 19:44 88 playerdata.txt
02.12.2004 15:56 16 ESSOLO.INI
02.12.2004 15:55 512 BOOTSECT.DOS
02.12.2004 15:20 122 CONFIG.SYS
02.12.2004 15:20 477 AUTOEXEC.BAT
02.12.2004 15:20 122 CONFIG.DOS
02.12.2004 14:36 477 AUTOEXEC.AGO
02.12.2004 14:36 122 CONFIG.AGO
30.11.2004 11:52 275 ASD.LOG
30.11.2004 11:43 1.011 FRUNLOG.TXT
30.11.2004 01:52 204 boot.---
30.11.2004 01:25 477 AUTOEXEC.DOS
28.11.2004 19:01 467 SETUPXLG.TXT
28.11.2004 15:20 1.676 MSDOS.SYS
18.08.2001 12:00 224.032 ntldr
18.08.2001 12:00 4.952 bootfont.bin
18.08.2001 12:00 45.124 ntdetect.com
24.05.2001 12:59 162.304 UNWISE.EXE
05.08.1999 19:39 33.160 ESSOLO.COM
05.08.1999 19:37 11.484 ESSOLO.SYS
05.05.1999 22:22 222.390 IO.SYS
35 Datei(en) 13.100.604 Bytes
0 Verzeichnis(se), 3.645.939.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3526-160C

Verzeichnis von C:\WINDOWS\system32

24.04.2008 08:01 46.690 perfc007.dat
24.04.2008 08:01 313.310 perfh007.dat
24.04.2008 08:01 308.222 perfh009.dat
24.04.2008 08:01 38.604 perfc009.dat
24.04.2008 08:01 714.066 PerfStringBackup.INI
22.04.2008 23:57 6.641 jupdate-1.6.0_05-b13.log
22.04.2008 19:48 25.065 wmpscheme.xml
17.04.2008 13:25 1.744 d3d9caps.dat
16.04.2008 08:04 2.184 wpa.dbl
30.03.2008 10:30 292.480 FNTCACHE.DAT
20.03.2008 18:06 1.480.232 LegitCheckControl.dll
20.03.2008 14:41 14.640 spmsg.dll
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
15.12.2007 11:34 1.632 d3d8caps.dat
08.11.2007 13:05 23.234 $winnt$.inf
08.11.2007 12:55 23.392 nscompat.tlb
08.11.2007 12:55 16.832 amcompat.tlb
08.11.2007 12:52 488 WindowsLogon.manifest
08.11.2007 12:52 488 logonui.exe.manifest
08.11.2007 12:52 749 ncpa.cpl.manifest
08.11.2007 12:52 749 nwc.cpl.manifest
08.11.2007 12:52 749 sapi.cpl.manifest
08.11.2007 12:52 749 wuaucpl.cpl.manifest
08.11.2007 12:52 749 cdplayer.exe.manifest
08.11.2007 12:50 22.880 emptyregdb.dat
30.08.2007 12:53 226.568 ddbacctm.cpl
30.08.2007 12:53 832.776 ddbaccpl.cpl
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 01:06 1.044.480 libdivx.dll
27.07.2007 01:06 200.704 ssldivx.dll
10.07.2007 17:27 172.032 cncs32.dll
29.06.2007 06:24 49.152 QuickTime.qts
29.06.2007 06:24 65.536 QuickTimeVR.qtx
27.06.2007 14:04 6.058.496 ieframe.dll







2061 Datei(en) 366.016.273 Bytes
0 Verzeichnis(se), 3.645.677.568 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3526-160C

Verzeichnis von C:\WINDOWS

24.04.2008 07:56 0 0.log
24.04.2008 07:55 2.048 bootstat.dat
24.04.2008 01:54 105.960 WindowsUpdate.log
24.04.2008 01:54 32.556 SchedLgU.Txt
24.04.2008 01:42 53.248 PSEXESVC.EXE
24.04.2008 01:38 414 system.ini
10.04.2008 20:46 116 NeroDigital.ini
03.04.2008 07:22 151 PhotoSnapViewer.INI
02.04.2008 17:12 809 Ulead32.ini
27.03.2008 17:52 39 MV.ini
27.03.2008 17:51 247 BUHL.INI
27.03.2008 17:46 649.216 fpuninst.exe
21.02.2008 16:53 1.516 win.ini
16.12.2007 17:26 25 QTW.INI
08.11.2007 12:56 4.161 ODBCINST.INI
08.11.2007 12:55 299.552 WMSysPrx.prx
08.11.2007 12:52 749 WindowsShell.Manifest
08.11.2007 12:33 843 upgrade.txt
23.10.2007 14:04 477 ODBC.INI
22.10.2007 17:57 43 gswin32.ini
22.10.2007 17:44 754 WORDPAD.INI
02.09.2007 14:38 4.444 mozver.dat
20.07.2007 10:57 3.192 tm.ini
20.07.2007 10:47 124 tdf.dii
10.07.2007 17:27 18 gfact.ini
21.06.2007 18:06 56 a1b2c3.INI
07.06.2007 10:23 796.672 GPInstall.exe

221 Datei(en) 17.106.615 Bytes
0 Verzeichnis(se), 3.645.579.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3526-160C

Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp

24.04.2008 08:01 346 jusched.log
24.04.2008 07:56 16.384 ~DF6401.tmp
2 Datei(en) 16.730 Bytes
0 Verzeichnis(se), 3.645.833.216 Bytes frei

#10 Hallo,

das Gleiche noch mal, txt erstellen, abgesicherter modus, txt auf Combofix ziehen + Combofix neu anwenden

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLLMGR64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dllmgr64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLLMGR64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dllmgr64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLLMGR64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dllmgr64]

File::
C:\WINDOWS\dllmgr64.exe

------------------------------------------------------

«
Virus Removal Tool - AVPTool
scanne + berichte
http://virus-protect.org/artikel/tools/kaspersky.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo,
Combofix habe ich angewendet.
Log siehe unten.
VirusRemoval folgt.
Vielen Dank.

ComboFix 08-05-01.3 - admin 2008-05-04 17:50:10.5 - [color=red]FAT32[/color]x86
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-04 bis 2008-05-04 ))))))))))))))))))))))))))))))
.

2008-05-04 17:26 . 2008-05-04 17:26 <DIR> d-------- C:\WINDOWS\SYSTEM32\config\systemprofile\Anwendungsdaten\TeamViewer
2008-04-24 09:01 . 2008-04-24 09:01 <DIR> d-------- C:\Dokumente und Einstellungen\admin\temp
2008-04-24 09:01 . 2008-04-24 09:01 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\TeamViewer
2008-04-23 20:39 . 2008-04-23 20:39 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-23 11:09 . 2008-04-23 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Malwarebytes
2008-04-23 11:08 . 2008-04-23 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-23 01:06 . 2008-04-23 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Apple Computer
2008-04-23 00:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl
2008-04-23 00:11 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\SYSTEM32\wups2.dll
2008-04-23 00:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-04-23 00:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-04-23 00:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-04-23 00:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-04-23 00:09 . 2008-04-23 00:09 <DIR> d---s---- C:\Dokumente und Einstellungen\admin\UserData
2008-04-22 23:57 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\SYSTEM32\javacpl.cpl
2008-04-22 18:05 . 2008-04-22 18:05 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-22 17:11 . 2008-04-22 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Lavasoft
2008-04-22 16:33 . 2008-04-22 16:34 <DIR> d-------- C:\Programme\Trend Micro
2008-04-22 16:00 . 2008-04-22 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\AVG7
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Vorlagen
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Startmen�
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Netzwerkumgebung
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Favoriten
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> dr------- C:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> d--h----- C:\Dokumente und Einstellungen\admin\Druckumgebung
2008-04-22 15:59 . 2007-11-08 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\DivX
2008-04-22 15:59 . 2004-12-02 16:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-04-22 15:59 . 2008-04-22 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\admin
2008-04-22 15:59 . 2004-12-02 16:15 1,024 --ah----- C:\Dokumente und Einstellungen\admin\ntuser.dat.ref.LOG
2008-04-22 15:59 . 2008-05-04 17:57 1,024 --ah----- C:\Dokumente und Einstellungen\admin\ntuser.dat.LOG
2008-04-22 14:45 . 2008-04-22 14:45 <DIR> d-------- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\InstallShield
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Programme\Lavasoft
2008-04-21 13:36 . 2008-04-21 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-21 13:24 . 2008-04-21 13:24 <DIR> d-------- C:\Programme\ccsetup206
2008-04-10 10:53 . 2008-04-10 10:53 <DIR> d-------- C:\Dokumente und Einstellungen\GROEGER MAJA\Anwendungsdaten\deltra Software GmbH
2008-04-10 10:53 . 2008-04-10 10:53 <DIR> d-------- C:\Dokumente und Einstellungen\GROEGER MAJA\Anwendungsdaten\Buhl Data Service GmbH
4 Datei(en) . 1,837,248 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 15:46 649,216 ----a-w C:\WINDOWS\fpuninst.exe
2008-03-27 15:46 --------- d-----w C:\Programme\letstrade
2008-03-27 15:46 --------- d-----w C:\Programme\Gemeinsame Dateien\DataDesign
2008-03-27 15:45 --------- d-----w C:\Programme\Gemeinsame Dateien\buhl data service
2008-03-27 15:45 --------- d-----w C:\Programme\Buhl
2008-03-23 12:32 --------- d-----w C:\Programme\MGS Member Manager
2005-02-08 12:14 410,347 ----a-w C:\Programme\defs.ref
2004-12-21 13:45 3,926 ------w C:\Programme\INSTALL.LOG
2004-11-28 13:22 266 --sh--w C:\Programme\desktop.ini
2004-11-28 13:22 11,253 ---h--w C:\Programme\folder.htt
2004-08-06 15:58 5,784 ------w C:\Programme\license.txt
2004-08-06 09:01 161,792 ------w C:\Programme\unregaaw.exe
2001-05-31 02:17 26,624 ------w C:\Programme\alert.wav
.

------- Sigcheck -------

2001-08-23 12:00 430080 2b0e480e975ee51f2d5ce5f068fed6e2 C:\WINDOWS\SYSTEM32\winlogon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-04_17.45.56.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-04 15:42:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-04 15:55:46 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-04 15:11:28 46,690 ----a-w C:\WINDOWS\SYSTEM32\perfc007.dat
+ 2008-05-04 15:47:38 46,690 ----a-w C:\WINDOWS\SYSTEM32\perfc007.dat
- 2008-05-04 15:11:28 38,604 ----a-w C:\WINDOWS\SYSTEM32\perfc009.dat
+ 2008-05-04 15:47:38 38,604 ----a-w C:\WINDOWS\SYSTEM32\perfc009.dat
- 2008-05-04 15:11:28 313,310 ----a-w C:\WINDOWS\SYSTEM32\perfh007.dat
+ 2008-05-04 15:47:38 313,310 ----a-w C:\WINDOWS\SYSTEM32\perfh007.dat
- 2008-05-04 15:11:28 308,222 ----a-w C:\WINDOWS\SYSTEM32\perfh009.dat
+ 2008-05-04 15:47:38 308,222 ----a-w C:\WINDOWS\SYSTEM32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-18 15:13 579584]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-31 15:53 185896]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [ ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"ELSAChipGuard"=C:\WINDOWS\ELSAUTIL\elsavect.exe
"ELSA WINman Suite"=C:\WINDOWS\ELSAutil\WINMSUIT.EXE /startup
"SO5 Integrator Pass Two"=C:\WINDOWS\SOINTGR.EXE
"MMTray"=C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
"AVGCtrl"="C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min

R2 A4S2;A4S2;C:\WINDOWS\System32\drivers\a4s2.sys [1997-05-12 10:51]
R2 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE" [2004-12-07 14:26]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\System32\DRIVERS\AVMCOWAN.sys [2003-06-18 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\System32\drivers\es1969.sys [2001-08-17 12:19]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\System32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 07:00:10 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
"2008-03-08 10:41:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 17:56:56
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 17:59:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-04 15:59:42
ComboFix2.txt 2008-05-04 15:46:36

18 Verzeichnis(se), 3,503,702,016 Bytes frei
46 Verzeichnis(se), 3,494,051,840 Bytes frei

149

#12 Hallo arthus

das war auf dem rechner... (Info) - wenn du sensible daten auf dem rechner hast und Onlinebanking usw. machst,. ist es besser, du formatierst...
http://www.sophos.com/security/analyses/viruses-and-spyware/w32tilebotcp.html

---------------------------------

1.
Virus Removal Tool - AVPTool
scanne + berichte
http://virus-protect.org/artikel/tools/kaspersky.html

2.
wende regstuff an + poste den report
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit