Spyware detected on your Computer & Antivirus XP2008 - beides ungewollt

#0
01.07.2008, 10:02
...neu hier

Beiträge: 7
#1 Hallo zusammen,

tja offensichtlich hab ich mir da nun auch was eingefangen. Auf der Suche nach einer Lösung [ nicht neu aufsetzen ] bin ich auf dieses Forum gestoßen und bin über die Kompetenz hier echt beeindruckt, dickes Lob.

Mein Problem stellt sich wie folgt dar, blauer Hintergrund mittig folgende Meldung: 'Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean your computer.'

In diesem Zusammenhang meldet sich nun auch Antivirus XP 2008 [ obwohl nicht von mir verwendet oder installiert, befindet sich in folgenden Verzeichnis: C:\Programme\rhcp2tj0\rhcp2tj0.exe ] immer zu Wort und erzählt mir, daß 1350 Viren gefunden wurden - was so auch nicht stimmt, denn Norton AV kann nichts finden.

Zusätzlich komm ich vom Problemrechner nun auch nicht mehr ins Internet. Hin und wieder erscheint noch folgende Meldung: 'Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden sie sich an ihren Administrator....'

Spybot Search & Destroy findet ca. 14 Einträge die aber immer wieder auftauchen....

Folgend das Log vom HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:24:12, on 01.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender9\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\BitDefender9\bdmcon.exe
C:\Programme\BitDefender9\bdoesrv.exe
C:\Programme\BitDefender9\bdswitch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\==[[ HALDE ]]==\Driver\G15_Applets\Lomons--The Logitech G15 Keyboard Info Application\lomons\LomontG15Info.exe
E:\==[[ HALDE ]]==\Driver\G15_Applets\G15-spectrum\G15-spec.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cssrss.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\Hijack This\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.02\RivaTuner.exe" /S
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddco.exe] C:\WINDOWS\system32\kddco.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB6830] command /c del "C:\WINDOWS\Help\45AD9FCA.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{56372F7D-D879-425C-8642-8CA217BC51E5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O17 - HKLM\System\CS2\Services\Tcpip\..\{1389227C-517D-4519-8813-884DF11392F6}: NameServer = 192.168.0.100
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = MSHOME.NET
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9497 bytes
Seitenanfang Seitenende
01.07.2008, 10:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo, -AL-

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
deaktiviere kurzzeitig: Search & Destroy\TeaTimer.exe

««
wundere dich bitte nicht, dass ich u.a. den Spybot aus dem System raushole, aber die Malware versteckt sich teilweise unter gleichem Namen ...
«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddco.exe] C:\WINDOWS\system32\kddco.exe

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\RunOnce: [SpybotDeletingB6830] command /c del "C:\WINDOWS\Help\45AD9FCA.dll_old"

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

-------------------------
«
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Help" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2008, 08:54
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo Sabina,

vielen Dank für die schnelle Rückmeldung, wenn ich die TeaTimer.exe beende sind nicht mehr alle Einträge aus Deinem Zitat enthalten. Hab das dann einmal ohne TeaTimer ausgeführt und einmal mit....
Zusätzlich bekomm ich noch immer keine Verbindung mit dem iNet hin...so daß ich mich auch erst jetzt melden kann.

...hier die Reports:

ComboFix 08-06-20.4 - AL_SKROCKY 2008-07-01 23:40:22.1 - NTFSx86
ausgeführt von:: Y:\_to do\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\0quR8n.syz
C:\WINDOWS\system32\80UIXi.syz
C:\WINDOWS\system32\cssrss.exe
C:\WINDOWS\system32\EIVQRU.syz
C:\WINDOWS\system32\EONSoS.syz
C:\WINDOWS\system32\F.tmp
C:\WINDOWS\system32\GkK4vS.syz
C:\WINDOWS\system32\jAHjYm.syz
C:\WINDOWS\system32\kddco.exe
C:\WINDOWS\system32\KFSmKj.syz
C:\WINDOWS\system32\nCLflu.syz
C:\WINDOWS\system32\qBbhlH.syz
C:\WINDOWS\system32\zLuySO.syz

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-01 bis 2008-07-01 ))))))))))))))))))))))))))))))
.

2008-07-01 00:26 . 2008-07-01 00:26 <DIR> d-------- C:\Programme\CCleaner
2008-07-01 00:19 . 2008-07-01 00:20 <DIR> d-------- C:\Programme\Trend Micro
2008-06-30 07:09 . 2008-06-30 07:09 0 --a------ C:\WINDOWS\vpc32.INI
2008-06-30 06:50 . 2008-06-30 06:50 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-30 00:05 . 2008-06-30 00:05 0 --a------ C:\WINDOWS\system32\A.tmp
2008-06-29 23:49 . 2006-09-18 17:55 109,744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-29 23:49 . 2006-09-18 17:55 48,816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-29 23:48 . 2008-07-01 23:43 <DIR> d-------- C:\Programme\Symantec AntiVirus
2008-06-29 23:45 . 2008-06-30 00:24 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-29 23:45 . 2008-07-01 23:44 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-29 23:45 . 2008-06-29 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\AL_SKROCKY\Anwendungsdaten\PC Tools
2008-06-29 23:45 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-29 23:45 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-29 23:45 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-29 23:45 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-29 19:35 . 2008-06-29 19:35 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-29 19:35 . 2008-06-29 19:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-29 19:32 . 2008-06-29 19:32 0 --a------ C:\WINDOWS\system32\6.tmp
2008-06-29 17:56 . 2008-06-29 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\AL_SKROCKY\Anwendungsdaten\rhcp2tj0e32n
2008-06-29 17:55 . 2008-06-29 17:56 <DIR> d-------- C:\Programme\rhcp2tj0e32n
2008-06-29 17:55 . 2008-06-30 00:05 60,928 --a------ C:\WINDOWS\system32\blphct2tj0e32n.scr
2008-06-29 17:54 . 2008-06-29 17:54 109,056 --a------ C:\WINDOWS\system32\lphct2tj0e32n.exe
2008-06-29 17:54 . 2008-06-30 00:05 90,838 --a------ C:\WINDOWS\system32\phct2tj0e32n.bmp
2008-06-29 17:54 . 2008-06-29 17:54 20,912 --a------ C:\n2dbr9.exe
2008-06-29 14:27 . 2008-06-29 14:27 <DIR> d-------- C:\Programme\Spring Creek Software Company
2008-06-28 08:37 . 2008-06-29 17:16 384 --a------ C:\WINDOWS\system32\sctsf.dat
2008-06-26 23:49 . 2008-06-28 05:48 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-06-26 22:53 . 2008-06-26 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 21:42 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-07-01 21:33 --------- d-----w C:\Programme\BitDefender9
2008-06-30 05:17 94,208 ----a-w C:\WINDOWS\system32\pphct2tj0e32n.exe
2008-06-29 21:56 94,208 ----a-w C:\WINDOWS\system32\AB.tmp
2008-06-29 21:55 94,208 ----a-w C:\WINDOWS\system32\A9.tmp
2008-06-29 21:55 94,208 ----a-w C:\WINDOWS\system32\A8.tmp
2008-06-29 21:55 94,208 ----a-w C:\WINDOWS\system32\A7.tmp
2008-06-29 21:55 94,208 ----a-w C:\WINDOWS\system32\A6.tmp
2008-06-29 21:54 94,208 ----a-w C:\WINDOWS\system32\A5.tmp
2008-06-29 21:54 94,208 ----a-w C:\WINDOWS\system32\A4.tmp
2008-06-29 21:54 94,208 ----a-w C:\WINDOWS\system32\A3.tmp
2008-06-29 21:54 94,208 ----a-w C:\WINDOWS\system32\A2.tmp
2008-06-29 21:53 94,208 ----a-w C:\WINDOWS\system32\A1.tmp
2008-06-29 21:53 94,208 ----a-w C:\WINDOWS\system32\A0.tmp
2008-06-29 21:53 94,208 ----a-w C:\WINDOWS\system32\9F.tmp
2008-06-29 21:52 94,208 ----a-w C:\WINDOWS\system32\9E.tmp
2008-06-29 21:52 94,208 ----a-w C:\WINDOWS\system32\9D.tmp
2008-06-29 21:52 94,208 ----a-w C:\WINDOWS\system32\9C.tmp
2008-06-29 21:52 94,208 ----a-w C:\WINDOWS\system32\9B.tmp
2008-06-29 21:51 94,208 ----a-w C:\WINDOWS\system32\9A.tmp
2008-06-29 21:51 94,208 ----a-w C:\WINDOWS\system32\99.tmp
2008-06-29 21:51 94,208 ----a-w C:\WINDOWS\system32\98.tmp
2008-06-29 21:50 94,208 ----a-w C:\WINDOWS\system32\97.tmp
2008-06-29 21:50 94,208 ----a-w C:\WINDOWS\system32\96.tmp
2008-06-29 21:50 94,208 ----a-w C:\WINDOWS\system32\95.tmp
2008-06-29 21:50 94,208 ----a-w C:\WINDOWS\system32\93.tmp
2008-06-29 21:49 --------- d-----w C:\Programme\Symantec
2008-06-29 21:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-29 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-05-16 21:40 --------- d-----w C:\Programme\Zattoo
2008-04-20 16:23 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-04-20 16:23 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-04-20 16:23 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-04-15 20:54 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-01 17:57 22,328 ----a-w C:\Dokumente und Einstellungen\AL_SKROCKY\Anwendungsdaten\PnkBstrK.sys
2006-12-17 16:19 311 ----a-w C:\Programme\INSTALL.LOG
2007-03-18 23:05 102,065 --sh--w C:\WINDOWS\Help\45AD9FCA.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\WINDOWS\system32\kddco.exe"="C:\WINDOWS\system32\kddco.exe" [ ]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 23:44 32881]
"BDMCon"="C:\Programme\BitDefender9\bdmcon.exe" [2006-04-20 13:48 372736]
"BDOESRV"="C:\Programme\BitDefender9\bdoesrv.exe" [2005-03-11 19:53 90112]
"BDSwitchAgent"="C:\Programme\BitDefender9\bdswitch.exe" [2005-04-06 15:09 33280]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 577536 C:\WINDOWS\soundman.exe]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2006-04-07 11:37 135168]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 17:49 77824]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 17:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 17:14 497152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920]
"RivaTunerStartupDaemon"="C:\Programme\RivaTuner v2.02\RivaTuner.exe" [2007-07-01 21:20 2596864]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-06-10 21:22 1163656]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-07-19 19:26 52896]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-09-27 20:33 125168]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 01:58 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32\kddco.exe]
C:\WINDOWS\system32\kddco.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2004-12-09 15:56 57344 C:\Programme\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IST Service]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphct2tj0e32n]
--a------ 2008-06-29 17:54 109056 C:\WINDOWS\system32\lphct2tj0e32n.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCInst]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:58 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
--------- 2005-01-04 14:17 1937408 C:\Programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nTrayFw]
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-06-15 12:36 229376 C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
--a------ 2006-06-27 16:21 1449984 C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhcp2tj0e32n]
--a------ 2008-06-29 09:43 1214976 C:\Programme\rhcp2tj0e32n\rhcp2tj0e32n.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winamp controller for g15]
--a------ 2007-10-17 02:18 1042432 E:\==
[[ HALDE ]]==\Driver\G15_Applets\Winamp Controller for G15\Winamp Controller for G15.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMDM PMSP Service]
C:\WINDOWS\system32\cssrss.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"E:\\[[ Games ]]\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Crysis\\Bin32\\Crysis.exe"=
"D:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"E:\\[[ Games ]]\\Unreal Tournament 3 (LG)\\Binaries\\UT3.exe"=
"E:\\[[ Games ]]\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\n2dbr9.exe"=

R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
R1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys [2006-02-23 11:18]
R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 20:01]
R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2007-07-15 03:37]
S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\18.tmp []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 02:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b50e7fa2-b9f6-11db-b3a5-f0e480d09a87}]
\Shell\AutoRun\command - F:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9cbbd1c-2a4a-11dd-8535-0c0c0c0c0c01}]
\Shell\AutoRun\command - F:\GRAND-OPENING.exe

*Newly Created Service* - MCHINJDRV
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 23:45:07
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath"="\??\C:\WINDOWS\TEMP\18.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender9\vsserv.exe
C:\WINDOWS\system32\rundll32.exe
E:\==[[ HALDE ]]==\Driver\G15_Applets\Lomons--The Logitech G15 Keyboard Info Application\lomons\LomontG15Info.exe
E:\==[[ HALDE ]]==\Driver\G15_Applets\G15-spectrum\G15-spec.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-01 23:46:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-01 21:46:34

9 Verzeichnis(se), 3,408,752,640 Bytes frei
11 Verzeichnis(se), 3,607,429,120 Bytes frei

234



Datentr„ger in Laufwerk C: ist PART1
Volumeseriennummer: 2C11-381F

Verzeichnis von C:\windows\Help

30.06.2008 00:04 <DIR> .
30.06.2008 00:04 <DIR> ..
02.04.2003 14:00 42.933 access.chm
02.04.2003 14:00 34.548 access.hlp
02.04.2003 14:00 22.594 accessib.chm
02.04.2003 14:00 23.233 acc_dis.chm
02.04.2003 14:00 62.657 aclui.chm
02.04.2003 14:00 17.796 aclui.hlp
02.04.2003 14:00 21.992 addremov.chm
02.04.2003 14:00 28.317 ade.hlp
02.04.2003 14:00 43.616 admtools.chm
02.04.2003 14:00 113.096 adprop.hlp
02.04.2003 14:00 8.975 agt0405.hlp
02.04.2003 14:00 8.783 agt0406.hlp
02.04.2003 14:00 8.856 agt0407.hlp
02.04.2003 14:00 9.001 agt0408.hlp
02.04.2003 14:00 8.648 agt0409.hlp
02.04.2003 14:00 8.662 agt040b.hlp
02.04.2003 14:00 8.882 agt040c.hlp
02.04.2003 14:00 8.987 agt040e.hlp
02.04.2003 14:00 8.746 agt0410.hlp
02.04.2003 14:00 9.309 agt0413.hlp
02.04.2003 14:00 8.654 agt0414.hlp
02.04.2003 14:00 8.917 agt0415.hlp
02.04.2003 14:00 8.758 agt0416.hlp
02.04.2003 14:00 8.799 agt0419.hlp
02.04.2003 14:00 9.251 agt041d.hlp
02.04.2003 14:00 9.041 agt041f.hlp
02.04.2003 14:00 8.799 agt0816.hlp
02.04.2003 14:00 8.830 agt0c0a.hlp
04.08.2004 02:00 81.196 apps.chm
04.08.2004 02:00 299.144 apps_sp.chm
02.04.2003 14:00 2.164.542 article.chm
17.07.2004 12:33 24.386 atm.chm
02.04.2003 14:00 11.516 audiocdc.hlp
02.04.2003 14:00 43.215 audit.chm
02.04.2003 14:00 38.261 bckg.chm
02.04.2003 14:00 20.637 blurbs.chm
17.07.2004 12:33 53.103 blutooth.chm
02.04.2003 14:00 152.576 bnts.dll
02.04.2003 14:00 48.251 bootcons.chm
02.04.2003 14:00 25.605 brief.chm
02.04.2003 14:00 32.254 calc.chm
02.04.2003 14:00 31.335 calc.hlp
02.04.2003 14:00 28.899 camera.chm
02.04.2003 14:00 30.121 camera.hlp
02.04.2003 14:00 27.244 cdmedia.chm
02.04.2003 14:00 11.832 cdmedia.hlp
02.04.2003 14:00 22.612 certmgr.chm
02.04.2003 14:00 26.867 certmgr.hlp
02.04.2003 14:00 28.005 charmap.chm
02.04.2003 14:00 13.221 charmap.hlp
02.04.2003 14:00 30.316 chkr.chm
02.04.2003 14:00 7.707 chnscsvr.hlp
02.04.2003 14:00 11.352 chooser.hlp
02.04.2003 14:00 315 ciadmin.htm
02.04.2003 14:00 21.466 ciquery.htm
02.04.2003 14:00 31.211 clipbrd.chm
02.04.2003 14:00 44.629 clipbrd.hlp
02.04.2003 14:00 113.440 cmconcepts.chm
02.04.2003 14:00 26.939 colormgt.chm
17.07.2004 12:32 309.594 comexp.chm
02.04.2003 14:00 51.302 comexp.hlp
02.04.2003 14:00 23.237 common.chm
02.04.2003 14:00 18.253 compfldr.chm
02.04.2003 14:00 21.168 compmgmt.chm
02.04.2003 14:00 19.085 compstui.hlp
02.04.2003 14:00 99.189 conf.chm
02.04.2003 14:00 115 conf.cnt
02.04.2003 14:00 33.358 conf.hlp
17.07.2004 23:54 23.347 conf1.chm
02.04.2003 14:00 133 connect.cnt
02.04.2003 14:00 48.364 connect.hlp
02.04.2003 14:00 21.177 cpanel.chm
17.07.2004 23:54 336.782 cpanel.chq
02.04.2003 14:00 15.031 cscui.hlp
02.04.2003 14:00 10.543 cyycoins.chm
02.04.2003 14:00 10.843 cyzcoins.chm
17.07.2004 12:33 18.839 datetime.chm
02.04.2003 14:00 25.700 ddeshare.chm
02.04.2003 14:00 34.666 ddeshare.hlp
02.04.2003 14:00 19.614 defrag.chm
02.04.2003 14:00 12.706 defrag.hlp
02.04.2003 14:00 66.183 devmgr.chm
02.04.2003 14:00 37.762 devmgr.hlp
02.04.2003 14:00 29.094 dfs.hlp
02.04.2003 14:00 39.012 diagboot.chm
02.04.2003 14:00 48.402 dialer.chm
02.04.2003 14:00 29.416 dialer.hlp
02.04.2003 14:00 69.300 digiras.chm
02.04.2003 14:00 21.027 dijoy.hlp
02.04.2003 14:00 176.922 diskmgmt.chm
02.04.2003 14:00 31.358 diskmgmt.hlp
02.04.2003 14:00 53.889 display.chm
02.04.2003 14:00 51.785 display.hlp
02.04.2003 14:00 43.129 dkconcepts.chm
02.04.2003 14:00 13.049 drvvfp.chm
02.04.2003 14:00 27.156 drwtsn32.chm
02.04.2003 14:00 14.713 drwtsn32.hlp
02.04.2003 14:00 20.828 dsclient.hlp
17.07.2004 12:33 58.601 dskquoui.chm
02.04.2003 14:00 18.077 dskquoui.hlp
28.06.2004 10:02 31.824 dxdiag.chm
02.04.2003 14:00 22.326 els.chm
02.04.2003 14:00 39.379 els.hlp
02.04.2003 14:00 69.617 encrypt.chm
02.04.2003 14:00 31.225 eudcedit.chm
02.04.2003 14:00 14.679 eudcedit.hlp
17.07.2004 12:33 76.483 evconcepts.chm
02.04.2003 14:00 24.181 evntwin.hlp
02.04.2003 14:00 16.838 fde.hlp
17.07.2004 12:33 90.345 filefold.chm
02.04.2003 14:00 54.371 filefold.hlp
02.04.2003 14:00 33.578 filemgmt.hlp
17.07.2004 12:33 52.125 file_srv.chm
02.04.2003 14:00 32.064 find.chm
02.04.2003 14:00 32.992 folderop.chm
02.04.2003 14:00 23.807 fonts.chm
02.04.2003 14:00 17.964 fonts.hlp
02.04.2003 14:00 22.415 freecell.chm
02.04.2003 14:00 12.578 freecell.hlp
02.04.2003 14:00 166.032 fxsclnt.chm
02.04.2003 14:00 28.742 fxsclnt.hlp
02.04.2003 14:00 30.908 fxscover.chm
02.04.2003 14:00 33.105 fxsshare.chm
02.04.2003 14:00 24.259 gen.chm
02.04.2003 14:00 293.111 Glossary.chm
02.04.2003 14:00 29.371 gpedit.chm
02.04.2003 14:00 30.412 gpedit.hlp
02.04.2003 14:00 14.852 gptext.hlp
02.04.2003 14:00 23.842 halftone.hlp
17.07.2004 12:33 33.330 hardware.chm
31.07.2002 11:02 15.829 hardware.hlp
17.07.2004 12:33 53.691 howto.chm
02.04.2003 14:00 32.748 hrtz.chm
02.04.2003 14:00 21.358 hs.chm
17.07.2004 12:33 46.204 hschelp.chm
02.04.2003 14:00 39.973 hypertrm.chm
02.04.2003 14:00 25.620 hypertrm.hlp
02.04.2003 14:00 34.524 icwdial.chm
02.04.2003 14:00 8.895 ident.hlp
02.04.2003 14:00 131.246 ieakmmc.chm
02.04.2003 14:00 12.895 ieeula.chm
02.04.2003 14:00 12.161 ieos.chm
02.04.2003 14:00 35.972 ieshared.chm
02.04.2003 14:00 22.021 iesupp.chm
02.04.2003 14:00 21.603 iewebhlp.chm
17.07.2004 12:33 240.900 iexplore.chm
02.04.2003 14:00 102.668 iexplore.hlp
17.07.2004 23:54 41.351 iis.chm
02.04.2003 14:00 11.650 iismmc.chm
02.04.2003 14:00 35.502 imgprev.chm
23.07.2004 22:44 187.952 inetres.chm
17.07.2004 12:33 94.396 infrared.chm
02.04.2003 14:00 14.242 infrared.hlp
31.07.2002 10:51 38.827 input.chm
31.07.2002 11:02 25.674 input.hlp
02.04.2003 14:00 24.732 intellimirror.chm
17.07.2004 12:33 240.984 ipsecconcepts.chm
02.04.2003 14:00 26.104 ipsecsnp.chm
02.04.2003 14:00 91.929 ipsecsnp.hlp
17.07.2004 12:33 177.589 ipv6.chm
02.04.2003 14:00 22.835 is.chm
02.04.2003 14:00 127.101 isconcepts.chm
02.04.2003 14:00 19.966 ixhelp.hlp
02.04.2003 14:00 2.401 ixqlang.htm
02.04.2003 14:00 25.531 joy.chm
02.04.2003 14:00 33.288 key.chm
02.04.2003 14:00 22.934 keyb.chm
02.04.2003 14:00 24.121 keyshort.chm
02.04.2003 14:00 27.497 lang.chm
31.07.2002 10:52 89.699 langbar.chm
17.07.2004 12:33 32.156 license.chm
02.04.2003 14:00 51.046 localsec.chm
02.04.2003 14:00 26.975 localsec.hlp
02.04.2003 14:00 28.503 lpe.chm
02.04.2003 14:00 37.774 lpeconcepts.chm
02.04.2003 14:00 26.542 magnify.chm
02.04.2003 14:00 12.234 magnify.hlp
16.01.2007 00:48 <DIR> mail
02.04.2003 14:00 135.674 mail.chm
02.04.2003 14:00 24.224 mfcuix.hlp
02.04.2003 14:00 2.996 migwiz.htm
02.04.2003 14:00 2.004 migwiz2.htm
17.07.2004 12:33 84.504 misc.chm
02.04.2003 14:00 23.464 mls_trb.chm
17.07.2004 12:33 171.318 mmc.chm
02.04.2003 14:00 44.836 mmc_dlg.hlp
02.04.2003 14:00 26.339 mobsync.chm
02.04.2003 14:00 20.927 mobsync.hlp
17.07.2004 12:33 66.301 mode.chm
02.04.2003 14:00 21.907 modem.hlp
02.04.2003 14:00 22.491 mouse.chm
02.04.2003 14:00 16.707 mouse.hlp
02.04.2003 14:00 208.674 mpconcepts.chm
02.04.2003 14:00 2.313 mplayer2.cnt
02.04.2003 14:00 103.981 mplayer2.hlp
02.04.2003 14:00 11.234 mpnetwrk.hlp
02.04.2003 14:00 33.846 mqsnap.hlp
02.04.2003 14:00 18.338 msconfig.chm
06.02.2003 12:29 15.723 msdasc.chm
02.04.2003 14:00 15.575 mshearts.chm
02.04.2003 14:00 238 mshearts.cnt
02.04.2003 14:00 11.221 mshearts.hlp
17.07.2004 12:34 49.292 msinfo32.chm
02.04.2003 14:00 73.805 msmq.chm
17.07.2004 12:32 560.839 msmqconcepts.chm
02.04.2003 14:00 153 msnauth.cnt
02.04.2003 14:00 10.919 msnauth.hlp
17.07.2004 12:34 283.715 msoe.chm
02.04.2003 14:00 59.611 msoe.hlp
02.04.2003 14:00 20.555 msoeacct.hlp
06.02.2003 12:29 15.245 msorcl32.chm
02.04.2003 14:00 53.896 mspaint.chm
02.04.2003 14:00 15.538 mspaint.hlp
17.07.2004 12:34 42.045 mstask.chm
02.04.2003 14:00 31.345 mstask.hlp
17.07.2004 12:34 71.875 mstsc.chm
17.07.2004 12:34 588.193 netcfg.chm
02.04.2003 14:00 310.595 netcfg.hlp
17.07.2004 23:54 123.710 network.chm
02.04.2003 14:00 34.363 newfeat1.chm
02.04.2003 14:00 16.957 newfeat1.hlp
02.04.2003 14:00 17.743 newfeat2.chm
02.04.2003 14:00 11.308 newfeat2.hlp
02.04.2003 14:00 17.743 newfeat3.chm
02.04.2003 14:00 11.308 newfeat3.hlp
02.04.2003 14:00 17.747 newfeat4.chm
02.04.2003 14:00 11.308 newfeat4.hlp
02.04.2003 14:00 17.747 newfeat5.chm
02.04.2003 14:00 11.308 newfeat5.hlp
02.04.2003 14:00 15.953 nmchat.chm
02.04.2003 14:00 25.081 nmwhiteb.chm
02.04.2003 14:00 94 nocontnt.cnt
02.04.2003 14:00 18.284 nofts.chm
02.04.2003 14:00 32.877 notepad.chm
02.04.2003 14:00 12.688 notepad.hlp
02.04.2003 14:00 1.266.617 ntart.chm
02.04.2003 14:00 84.151 ntbackup.chm
02.04.2003 14:00 62.835 ntbackup.hlp
17.07.2004 12:34 20.777 ntchowto.chm
02.04.2003 14:00 981.082 ntcmds.chm
17.07.2004 12:34 86.723 ntdef.chm
02.04.2003 14:00 27.098 nthelp.chm
02.04.2003 14:00 369.760 ntshared.chm
02.04.2003 14:00 12.997 ntshrui.hlp
17.07.2004 12:34 432.231 nusrmgr.chm
04.10.2007 18:14 281.744 nvcpar.hlp
04.10.2007 18:14 278.549 nvcpcs.hlp
04.10.2007 18:14 186.930 nvcpda.hlp
04.10.2007 18:14 195.617 nvcpde.hlp
04.10.2007 18:14 315.640 nvcpel.hlp
04.10.2007 18:14 177.672 nvcpeng.hlp
04.10.2007 18:14 190.511 nvcpes.hlp
04.10.2007 18:14 189.754 nvcpesm.hlp
04.10.2007 18:14 190.948 nvcpfi.hlp
04.10.2007 18:14 188.515 nvcpfr.hlp
04.10.2007 18:14 344.561 nvcphe.hlp
04.10.2007 18:14 210.087 nvcphu.hlp
04.10.2007 18:14 180.006 nvcpit.hlp
04.10.2007 18:14 328.082 nvcpja.hlp
04.10.2007 18:14 318.321 nvcpko.hlp
17.11.2007 23:28 <DIR> nvcpl
04.10.2007 18:14 177.897 nvcpl.hlp
04.10.2007 18:14 182.369 nvcpnl.hlp
04.10.2007 18:14 183.653 nvcpno.hlp
04.10.2007 18:14 195.862 nvcppl.hlp
04.10.2007 18:14 192.193 nvcppt.hlp
04.10.2007 18:14 191.376 nvcpptb.hlp
04.10.2007 18:14 188.461 nvcpru.hlp
04.10.2007 18:14 286.516 nvcpsk.hlp
04.10.2007 18:14 191.749 nvcpsl.hlp
04.10.2007 18:14 191.884 nvcpsv.hlp
04.10.2007 18:14 343.572 nvcpth.hlp
04.10.2007 18:14 204.310 nvcptr.hlp
04.10.2007 18:14 287.274 nvcpzhc.hlp
04.10.2007 18:14 280.018 nvcpzht.hlp
04.10.2007 18:14 56.964 nvwcpar.hlp
04.10.2007 18:14 57.326 nvwcpcs.hlp
04.10.2007 18:14 58.597 nvwcpda.hlp
04.10.2007 18:14 60.795 nvwcpde.hlp
04.10.2007 18:14 58.663 nvwcpel.hlp
04.10.2007 18:14 55.637 nvwcpeng.hlp
04.10.2007 18:14 57.161 nvwcpes.hlp
04.10.2007 18:14 56.860 nvwcpesm.hlp
04.10.2007 18:14 59.875 nvwcpfi.hlp
04.10.2007 18:14 59.626 nvwcpfr.hlp
04.10.2007 18:14 59.064 nvwcphe.hlp
04.10.2007 18:14 65.285 nvwcphu.hlp
04.10.2007 18:14 57.372 nvwcpit.hlp
04.10.2007 18:14 109.051 nvwcpja.hlp
04.10.2007 18:14 124.094 nvwcpko.hlp
04.10.2007 18:14 55.444 nvwcplen.hlp
04.10.2007 18:14 58.290 nvwcpnl.hlp
04.10.2007 18:14 57.530 nvwcpno.hlp
04.10.2007 18:14 63.426 nvwcppl.hlp
04.10.2007 18:14 59.312 nvwcppt.hlp
04.10.2007 18:14 58.928 nvwcpptb.hlp
04.10.2007 18:14 59.167 nvwcpru.hlp
04.10.2007 18:14 61.937 nvwcpsk.hlp
04.10.2007 18:14 59.645 nvwcpsl.hlp
04.10.2007 18:14 59.562 nvwcpsv.hlp
04.10.2007 18:14 90.709 nvwcpth.hlp
04.10.2007 18:14 64.401 nvwcptr.hlp
04.10.2007 18:14 79.786 nvwcpzhc.hlp
04.10.2007 18:14 76.236 nvwcpzht.hlp
02.04.2003 14:00 38.494 nwdoc.chm
02.04.2003 14:00 21.419 nwdoc.hlp
02.04.2003 14:00 29.910 objsel.hlp
06.02.2003 12:29 16.119 ODBCInst.chm
02.04.2003 14:00 38.369 odbcjet.chm
02.04.2003 14:00 31.583 oe_msgr.chm
02.04.2003 14:00 28.814 offlinefolders.chm
02.04.2003 14:00 38.199 omc.chm
02.04.2003 14:00 26.499 osk.chm
02.04.2003 14:00 12.532 osk.hlp
02.04.2003 14:00 27.442 packager.chm
17.07.2004 12:34 22.687 password.chm
02.04.2003 14:00 23.901 phowto.chm
02.04.2003 14:00 46.076 pinball.chm
02.04.2003 14:00 20.807 pinball.hlp
17.07.2004 12:32 84.531 plyr_err.chm
02.04.2003 14:00 26.425 printfnd.chm
17.07.2004 12:34 108.474 printing.chm
02.04.2003 14:00 779 progman.cnt
02.04.2003 14:00 26.567 progman.hlp
02.04.2003 14:00 37.895 pwrmn.chm
02.04.2003 14:00 43.681 pwrmn.hlp
02.04.2003 14:00 12.908 qosconcepts.chm
02.04.2003 14:00 21.090 ratings.chm
02.04.2003 14:00 358 ratings.cnt
02.04.2003 14:00 28.625 ratings.hlp
17.07.2004 12:34 38.655 rdesktop.chm
02.04.2003 14:00 30.728 reader.chm
02.04.2003 14:00 12.008 reader.hlp
02.04.2003 14:00 26.268 recycle.chm
02.04.2003 14:00 57.614 regedit.chm
02.04.2003 14:00 13.125 regedit.hlp
31.07.2002 10:56 26.443 regopt.chm
17.07.2004 12:34 20.536 remasst.chm
02.04.2003 14:00 20.531 reskit.chm
02.04.2003 14:00 19.735 rktools.chm
02.04.2003 14:00 41.250 rrc.chm
02.04.2003 14:00 15.074 rsm.chm
02.04.2003 14:00 37.181 rsm.hlp
02.04.2003 14:00 64.082 rsmconcepts.chm
17.07.2004 12:34 49.962 rsop.chm
02.04.2003 14:00 22.295 rsopsnp.chm
02.04.2003 14:00 27.535 rvse.chm
02.04.2003 14:00 19.507 safer.chm
02.04.2003 14:00 44.001 saferconcepts.chm
02.04.2003 14:00 15.243 sapicpl.hlp
02.04.2003 14:00 18.312 sc.chm
02.04.2003 14:00 14.153 scarddlg.hlp
02.04.2003 14:00 36.778 sce.chm
02.04.2003 14:00 101.042 sceconcepts.chm
02.04.2003 14:00 36.560 scm.chm
02.04.2003 14:00 60.695 scmconcepts.chm
02.04.2003 14:00 41.703 secauth.hlp
02.04.2003 14:00 20.032 secedit.chm
02.04.2003 14:00 47.437 secsetconcepts.chm
02.04.2003 14:00 36.358 secsettings.chm
17.07.2004 12:34 19.165 sendcmsg.chm
02.04.2003 14:00 12.002 sendcmsg.hlp
02.04.2003 14:00 16.741 sfmmgr.hlp
02.04.2003 14:00 22.716 shell.hlp
02.04.2003 14:00 34.642 shvl.chm
02.04.2003 14:00 13.544 signin.hlp
02.04.2003 14:00 12.386 sigverif.hlp
02.04.2003 14:00 26.302 smlogcfg.chm
02.04.2003 14:00 23.919 sndvol32.chm
02.04.2003 14:00 11.375 sndvol32.hlp
04.08.2004 01:57 34.816 sniffpol.dll
02.04.2003 14:00 52.479 snmpconcepts.chm
02.04.2003 14:00 20.953 snmpsnap.hlp
02.04.2003 14:00 23.264 sol.chm
02.04.2003 14:00 13.904 sol.hlp
02.04.2003 14:00 41.278 soundrec.chm
02.04.2003 14:00 20.633 soundrec.hlp
02.04.2003 14:00 26.994 sounds.chm
22.05.2003 14:46 20.719 spad.chm
17.07.2004 23:54 213.894 spconcepts.chm
02.04.2003 14:00 47.748 speech.chm
02.04.2003 14:00 16.659 spider.chm
02.04.2003 14:00 11.882 spider.hlp
02.04.2003 14:00 19.056 splash.chm
17.07.2004 12:34 131.787 spolsconcepts.chm
17.07.2004 12:34 18.665 sr_ui.chm
04.08.2004 01:57 33.280 sstub.dll
02.04.2003 14:00 18.163 supp_ed.chm
02.04.2003 14:00 21.464 suptools.chm
02.04.2003 14:00 51.424 sysdm.chm
02.04.2003 14:00 73.989 sysdm.hlp
02.04.2003 14:00 25.251 sysmon.chm
02.04.2003 14:00 66.069 sysmon.hlp
02.04.2003 14:00 42.670 sysprop.chm
17.07.2004 12:34 36.710 sysrestore.chm
02.04.2003 14:00 11.696 sysrestore.hlp
17.07.2004 23:54 547.621 system.chm
17.07.2004 12:34 36.183 sys_srv.chm
02.04.2003 14:00 44.991 tapi.chm
02.04.2003 14:00 42.661 tapi.hlp
02.04.2003 14:00 41.821 taskbar.chm
02.04.2003 14:00 37.757 taskmgr.chm
02.04.2003 14:00 13.481 taskmgr.hlp
02.04.2003 14:00 58.508 tcpip.chm
02.04.2003 14:00 12.932 tcpmon.hlp
02.04.2003 14:00 34.377 telnet.chm
02.04.2003 14:00 14.929 telnet.hlp
02.04.2003 14:00 27.253 timesrv.chm
02.10.2005 03:53 <DIR> Tours
02.04.2003 14:00 373.833 tshoot.chm
04.08.2004 01:57 279.040 tshoot.dll
17.07.2004 12:34 52.177 twclient.chm
17.07.2004 12:34 12.440 twclient.hlp
02.04.2003 14:00 188 update.cnt
17.07.2004 23:54 63.781 update1.chm
02.04.2003 14:00 37.571 usercpl.chm
02.04.2003 14:00 13.359 users.hlp
02.04.2003 14:00 23.870 utilmgr.chm
02.04.2003 14:00 12.454 utilmgr.hlp
02.04.2003 14:00 14.539 verifier.hlp
02.04.2003 14:00 81.615 wab.chm
02.04.2003 14:00 29.900 wab.hlp
02.04.2003 14:00 54.957 wbemtest.chm
17.07.2004 12:34 16.983 webpub.chm
17.07.2004 12:34 47.725 whatsnew.chm
02.04.2003 14:00 24.996 winchat.chm
02.04.2003 14:00 12.486 winchat.hlp
02.04.2003 14:00 1.000.805 windows.chm
17.07.2004 23:54 1.032.568 windows.chq
02.04.2003 14:00 64 windows.cnt
02.04.2003 14:00 147.470 windows.hlp
02.04.2003 14:00 75 winhlp32.cnt
02.04.2003 14:00 22.115 winhlp32.hlp
02.04.2003 14:00 69.201 wininstl.chm
02.04.2003 14:00 21.591 winmine.chm
02.04.2003 14:00 11.517 winmine.hlp
02.04.2003 14:00 31.072 win_dos.chm
02.04.2003 14:00 58.540 wmic.chm
02.04.2003 14:00 18.809 wmifltr.chm
17.07.2004 23:54 26.141 wmplay.chm
17.07.2004 12:32 660.224 wmplayer.chm
02.04.2003 14:00 36.953 wordpad.chm
02.04.2003 14:00 16.106 wordpad.hlp
02.04.2003 14:00 31.993 wpa.chm
17.07.2004 12:35 29.450 wschelp.chm
02.04.2003 14:00 33.592 wscript.chm
10.11.1999 17:36 12.690 wscript.hlp
02.04.2003 14:00 64.886 wsecedit.hlp
02.04.2003 14:00 19.855 wshconcepts.chm
17.07.2004 23:54 21.065 wuau.chm
17.07.2004 12:35 74.912 wuauhelp.chm
448 Datei(en) 34.173.372 Bytes
5 Verzeichnis(se), 3.623.645.184 Bytes frei
Seitenanfang Seitenende
02.07.2008, 10:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo, -AL-

im Grunde solltest du formatieren, denn auf dem Rechner ist/war ein:
Cssrss.exe is W32/Forbot-CE

Each time W32/Forbot-CE runs it tries to connect to a remote IRC server and join a predefined channel. W32/Forbot-CE then listens on the channel for instructions specified by a remote intruder,
W32/Forbot-CE attempts to spread to network computers using various exploits and may try to delete network shares.

----------------------------------------------------------------------

1.
deaktiviere SpybotSD TeaTimer, sonst klappt es mit dem script von Combofix nicht

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\WINDOWS\system32\kddco.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32\kddco.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphct2tj0e32n]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMDM PMSP Service]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\n2dbr9.exe"=-

Folder::
C:\Dokumente und Einstellungen\AL_SKROCKY\Anwendungsdaten\rhcp2tj0e32n
C:\Programme\rhcp2tj0e32n

File::
C:\WINDOWS\system32\blphct2tj0e32n.scr
C:\WINDOWS\system32\lphct2tj0e32n.exe
C:\WINDOWS\system32\phct2tj0e32n.bmp
C:\WINDOWS\system32\cssrss.exe
C:\WINDOWS\system32\A.tmp
C:\WINDOWS\system32\6.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\system32\A8.tmp
C:\WINDOWS\system32\A7.tmp
C:\WINDOWS\system32\A6.tmp
C:\WINDOWS\system32\A5.tmp
C:\WINDOWS\system32\A4.tmp
C:\WINDOWS\system32\A3.tmp
C:\WINDOWS\system32\A2.tmp
C:\WINDOWS\system32\A1.tmp
C:\WINDOWS\system32\A0.tmp
C:\WINDOWS\system32\9F.tmp
C:\WINDOWS\system32\9E.tmp
C:\WINDOWS\system32\9D.tmp
C:\WINDOWS\system32\9C.tmp
C:\WINDOWS\system32\9B.tmp
C:\WINDOWS\system32\9A.tmp
C:\WINDOWS\system32\99.tmp
C:\WINDOWS\system32\98.tmp
C:\WINDOWS\system32\97.tmp
C:\WINDOWS\system32\96.tmp
C:\WINDOWS\system32\95.tmp
C:\WINDOWS\system32\93.tmp
C:\WINDOWS\TEMP\18.tmp
C:\WINDOWS\Help\45AD9FCA.dll_old
C:\WINDOWS\Help\45AD9FCA.dll
C:\WINDOWS\Help\45AD9FCA.exe
C:\n2dbr9.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

«««

poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2008, 14:09
...neu hier

Themenstarter

Beiträge: 7
#5

Zitat

Sabina postete
Hallo, -AL-

im Grunde solltest du formatieren, denn auf dem Rechner ist/war ein:
Cssrss.exe is W32/Forbot-CE

Each time W32/Forbot-CE runs it tries to connect to a remote IRC server and join a predefined channel. W32/Forbot-CE then listens on the channel for instructions specified by a remote intruder,
W32/Forbot-CE attempts to spread to network computers using various exploits and may try to delete network shares.

----------------------------------------------------------------------
...jetzt ist mir gerade ein wenig übel...Problem ist jetzt folgendes, das System hat Raid [ zwei Platten ] mit drei Partitionen - von der C Partit. hab ich Sicherungen - würde es reichen C zu bügeln und Sicherung einspielen ? Wie kann man die Daten auf den anderen beiden Partitionen auf Befall überprüfen, ebenso noch externe HDDs und ggf. Rechner im lokalen LAN ?

Besteht überhaupt noch eine Chance das System zu cleanen, bzw. Daten zu prüfen ?

Sehr wichtig für mich wäre, herauszufinden seit wann das Problem besteht - nur so könnte ich abschätzen welche Daten [ externe HDDs, Rechner im LAN ] ebenfalls verseucht sein könnten....

...need help
Seitenanfang Seitenende
02.07.2008, 14:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 es reicht c:\ platt zu machen.
man kann auch reinigen, jedoch musst du selbst wissen, wie sensibel deine Daten sind ... denn das System bleibt dann trotz Reinigung kompromitiert.
Den Zeitpunkt der Verseuchung kenne ich nicht, da combofix die cssrss.exe schon ausgelöscht hat. Allerdings gehört die C:\n2dbr9.exe wahrscheinlich dazu....

Juni 2008
2008-06-29 17:54 . 2008-06-29 17:54 20,912 --a------ C:\n2dbr9.exe

und März 2007 gab es ebenfalls eine Verseuchung ;)
2007-03-18 23:05 102,065 --sh--w C:\WINDOWS\Help\45AD9FCA.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2008, 16:43
...neu hier

Themenstarter

Beiträge: 7
#7 Hallo Sabina,

das ist echt zum Haare raufen, da läuft ein Router mit Firewall und zus. auf dem System selbst auch noch Firewall und Virenscanner und dennoch hat man solche Probleme. Welche Programme kannst Du empfehlen, um ein System vor sowas zu bewahren ?

OK, also fahr ich nen Restore auf C - welches ja auch erstmal geprüft werden müßte, da ich nicht weiß seit wann ich denn Mist hab ? Dann wieder hier die Logs posten, oder welche Tools können die oben genannte Dateien auch als Seuche identifizieren ?

...ich glaub ich komm jetzt öfter ;)
Seitenanfang Seitenende
02.07.2008, 16:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 p.s. wenn du selbst irgendwas lädst, nützen auch der beste Router , MS-Updates, Firewall und Antivirus nicht viel.
Man sollte das Surfverhalten überdenken...

die verseuchung begann im März 2007
wenn du dann das backup eingespielt hast, poste wieder ein log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2008, 17:22
...neu hier

Themenstarter

Beiträge: 7
#9

Zitat

Sabina postete
p.s. wenn du selbst irgendwas lädst, nützen auch der beste Router , MS-Updates, Firewall und Antivirus nicht viel.
Man sollte das Surfverhalten überdenken...

die verseuchung begann im März 2007
wenn du dann das backup eingespielt hast, poste wieder ein log von Combofix
...wohl wahr !

Ok, werd ich machen, nochmals vielen Dank !
Seitenanfang Seitenende
02.07.2008, 20:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 poste dann das neue Log von Combofix ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.07.2008, 11:58
...neu hier

Themenstarter

Beiträge: 7
#11 Hallo Sabina,

so...endlich Zeit gefunden, daß Image einzuspielen, mbr mußte auch noch gefixt werden, aber jetzt läufts wieder - und das Image, welch Glück, ist vom Febr.07....dann schau mal bitte drüber:

ComboFix 08-07-07.3 - AL_SKROCKY 2008-07-09 1:49:20.1 - NTFSx86
ausgeführt von:: C:\_check\02ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-08 bis 2008-07-08 ))))))))))))))))))))))))))))))
.

2008-07-09 01:47 . 2008-07-09 01:48 <DIR> d-------- C:\327882R2FWJFW
2008-07-09 01:31 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-07-09 01:31 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-07-09 01:31 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-07-09 01:31 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-07-09 01:31 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-07-09 01:31 . 2004-08-04 00:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-07-09 01:26 . 2008-07-09 01:41 <DIR> d-------- C:\_check

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 00:05 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-07-08 23:30 --------- d-----w C:\Programme\BitDefender9
2006-12-17 16:19 311 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 23:44 32881]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 01:58 160768]
"RemoteControl"="C:\Programme\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"CloneCDTray"="C:\Programme\CloneCD\CloneCDTray.exe" [2004-12-09 15:56 57344]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 12:36 229376]
"BDMCon"="C:\Programme\BitDefender9\bdmcon.exe" [2006-04-20 13:48 372736]
"BDOESRV"="C:\Programme\BitDefender9\bdoesrv.exe" [2005-03-11 19:53 90112]
"BDNewsAgent"="C:\Programme\BitDefender9\bdnagent.exe" [2005-06-09 12:28 9728]
"BDSwitchAgent"="C:\Programme\BitDefender9\bdswitch.exe" [2005-04-06 15:09 33280]
"SiteAdvisor"="C:\Programme\SiteAdvisor\6028\SiteAdv.exe" [2007-02-09 04:39 36904]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2006-04-07 11:37 135168]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 17:49 77824]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 22:43 7630848]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 577536 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2006-08-11 22:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 22:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=

R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 20:01]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 02:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b50e7fa2-b9f6-11db-b3a5-f0e480d09a87}]
\Shell\AutoRun\command - F:\pushinst.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - HIDSERV
*Newly Created Service* - NVRAID
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Steam - (no file)
MSConfigStartUp-nTrayFw - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 01:50:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-09 1:50:42
ComboFix-quarantined-files.txt 2008-07-08 23:50:38

10 Verzeichnis(se), 5,609,226,240 Bytes frei
12 Verzeichnis(se), 5,667,901,440 Bytes frei

86
Seitenanfang Seitenende
09.07.2008, 12:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ja, das sieht gut aus ;)
ich denke, du kannst nun beruhigt sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.07.2008, 18:09
...neu hier

Themenstarter

Beiträge: 7
#13 Hallo Sabina,

vielen Dank nochmals für die schnelle und sehr kompetente Hilfe. Eine kleine Frage hätte ich noch, wie kann ich denn einen Rechner nur prüfen - also ohne das bereits Aktionen ausgeführt werden ? Hijackthis ? ...also sozusagen nur ein Log mit dem Istzustand erstellen ? Hätte da noch einen Rechner, der eigentlich auch keine Verbindung zum Inet herstellen kann, allerdings weiß ich ja nun, daß man den ungebetenen Gästen, meist selbst die Tür öffnet ;)

Grüße...
Seitenanfang Seitenende
10.07.2008, 21:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 du kannst hier auch die logs vom 3.Rechner posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 14:49
...neu hier

Beiträge: 1
#15 Hi,
ich hab auch ein Problem und schonmal etwas vorarbeit geleistet. Kann mir jemand hierbei helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:40, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA\AVKClient\AVKCl.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AVKClient\AVKWCtl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHDLDCS.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\GFI\FAXmaker Client\FMSTART.EXE
C:\Programme\G DATA\AVKClient\AVKCl.exe
C:\WINDOWS\system32\eclientn.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\lphccq9j0e53p.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ESTOS\ProCall\etapimon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\WINDOWS\TWAIN_32\CANON\FB310\Scaner32.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adworks.argentos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [FMStart] "C:\Programme\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [AvkClient] C:\Programme\G DATA\AVKClient\AVKCl.exe /GUI
O4 - HKLM\..\Run: [load32] C:\WINDOWS\system32\winldra.exe
O4 - HKLM\..\Run: [ETapiSt] "C:\Programme\ESTOS\ProCall\etapist.exe" -autostart
O4 - HKLM\..\Run: [ETapiNotify] eclientn.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [lphccq9j0e53p] C:\WINDOWS\system32\lphccq9j0e53p.exe
O4 - HKLM\..\Run: [SMrhc9q9j0e53p] C:\Programme\rhc9q9j0e53p\rhc9q9j0e53p.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST] C:\WINDOWS\rechnung.pdf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: CanoScan FB310 Utilities.lnk = C:\WINDOWS\TWAIN_32\CANON\FB310\Scaner32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV03.EXE
O4 - Global Startup: FAX manager.lnk = C:\Programme\GFI\FAXmaker Client\fmclman.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} (F5 Networks Auto Update) - C:\DOKUME~1\mk\LOKALE~1\Temp\IXP000.TMP\InstallerControl.cab
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks SSLTunnel) - https://b2b.dab-bank.com/vdesk/terminal/urTermProxy.cab#version=6020,2008,0404,2204
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks SuperHost Class) - https://b2b.dab-bank.com/vdesk/terminal/urxshost.cab#version=6020,2008,0404,2208
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host Control) - https://b2b.dab-bank.com/vdesk/terminal/urxhost.cab#version=6020,2008,0404,2207
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fondsbroker.de
O17 - HKLM\Software\..\Telephony: DomainName = fondsbroker.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fondsbroker.de
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: G DATA AntiVirus Client (AntiVirusKit Client) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKCl.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: OKI OPHD DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHDLDCS.EXE

--
End of file - 9293 bytes
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: