srosa, hldrrr,... mit ComboFix bekämpft. Ist er wieder sauber?

#1 Hallo!

Ich habe heute nach dem unvernünftigen Herunterladen und Ausführen einer Datei (zum sichern von outlook) einen Bluescreen erhalten.
Nichts dabei gedacht.
Bei einem folgenden Systemneustart hat dann AVGfree8 gemeckert wegen srosa.
Nachdem ich dann eine hohe Systemauslastung und extreme Langsamkeit bemerkte habe ich sofort hier im Forum nachgeschaut und bin auf Combofix mit einer Anleitung vom Pinguin gestoßen.

Also habe ich folgendes gemacht:
- CCleaner ausgeführt
- Combofix laufen lassen

hier die log-Datei mit der Frage ob ich das Teil erwischt habe - bzw was ich noch machen muss?

ComboFix 08-07-14.2 - Christian 2008-07-15 23:45:30.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.175 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Christian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system\oeminfo.ini
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\168562.exe
C:\WINDOWS\system32\drivers\downld\179750.exe
C:\WINDOWS\system32\drivers\downld\244156.exe
C:\WINDOWS\system32\drivers\downld\251078.exe
C:\WINDOWS\system32\drivers\downld\265640.exe
C:\WINDOWS\system32\drivers\downld\413484.exe
C:\WINDOWS\system32\drivers\downld\441703.exe
C:\WINDOWS\system32\drivers\downld\457015.exe
C:\WINDOWS\system32\drivers\downld\754234.exe
C:\WINDOWS\system32\drivers\downld\800359.exe
C:\WINDOWS\system32\drivers\downld\809046.exe
C:\WINDOWS\system32\drivers\downld\829468.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF
-------\Service_srosa


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 23:36 . 2008-07-15 23:36 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 22:51 . 2008-07-15 22:51 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-15 22:51 . 2008-07-15 22:51 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-15 21:25 . 2000-06-19 17:31 110,592 --a------ C:\WINDOWS\_detmp.4
2008-07-15 21:25 . 2004-05-14 15:30 65,361 --a------ C:\WINDOWS\_detmp.3
2008-07-15 19:36 . 2008-07-15 19:36 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\OBP6Backup
2008-07-15 19:36 . 2008-07-15 19:36 <DIR> d--h----- C:\$AVG8.VAULT$
2008-07-15 19:34 . 2008-07-15 19:34 <DIR> d-------- C:\Programme\OBP6
2008-07-15 19:34 . 2008-07-15 19:34 <DIR> d-------- C:\Programme\Eazy-Ware
2008-07-15 19:34 . 2008-07-15 19:34 <DIR> d-------- C:\Programme\AJSystems Common
2008-07-15 19:34 . 2008-07-15 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Eazy-Ware
2008-07-15 19:34 . 2006-08-03 10:51 491,578 --a------ C:\WINDOWS\system32\XceedZip.dll
2008-07-15 19:30 . 2008-07-15 19:30 <DIR> d--hs---- C:\FOUND.004
2008-07-15 19:03 . 2008-07-15 19:03 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-07-15 19:03 . 2008-07-15 23:41 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-15 19:03 . 2008-07-15 23:41 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-07-12 00:46 . 2008-07-12 00:46 <DIR> d-------- C:\Programme\avedesk
2008-07-12 00:38 . 2008-07-12 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\AveDesk
2008-07-11 18:02 . 2008-07-11 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-07-11 17:42 . 2008-07-11 17:42 <DIR> d-------- C:\Programme\Bonjour
2008-07-11 17:34 . 2008-07-11 17:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-07-10 21:58 . 2008-07-10 21:59 <DIR> d-------- C:\Programme\Nannoid
2008-07-10 21:30 . 2008-07-10 21:30 <DIR> d-------- C:\Programme\Stardock
2008-07-10 21:30 . 2008-07-10 21:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2008-07-10 20:37 . 2008-07-10 20:37 <DIR> d--h----- C:\WINDOWS\XPize Darkside
2008-07-10 20:37 . 2002-12-31 12:00 219,648 --a------ C:\WINDOWS\system32\uxtheme.backup
2008-07-10 20:37 . 2008-07-10 20:57 219,648 --a------ C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-07-05 15:47 . 2008-07-05 15:47 <DIR> d-------- C:\Programme\dm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 18:57 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-06-02 18:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2008-06-02 18:19 --------- d-----w C:\Programme\EPSON
2008-05-31 08:59 --------- d-----w C:\Programme\AVG
2008-05-31 08:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2007-12-24 12:50 35,792 ----a-w C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-01-21 01:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe
2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Christian\MpSetup.exe
1999-06-30 13:06 151,552 ----a-w C:\WINDOWS\inf\AGFA\Message.exe
2004-07-03 19:09 140,800 ----a-w C:\Programme\mozilla firefox\plugins\al2np.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ChkMail"="8=Œ" [X]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 12:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10 23237416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="LaunApp" [X]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-13 21:10 335872]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-04-24 16:51 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-04-24 16:44 610304]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2003-05-12 14:28 32768]
"PowerKey"="C:\Programme\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208]
"LManager"="C:\Programme\Launch Manager\HotkeyApp.exe" [2003-11-26 11:32 45056]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-07-25 14:58 184320]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2003-06-25 10:53 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2003-11-26 09:46 65536]
"LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2002-11-25 10:23 172032]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 12:34 406016]
"PPMemCheck"="C:\Programme\PestPatrol\PPMemCheck.exe" [2004-03-11 07:11 146432]
"CookiePatrol"="C:\Programme\PestPatrol\CookiePatrol.exe" [2004-03-11 07:11 69632]
"Nokia Connection Monitor"="C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe" [2001-03-23 11:08 122880]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"AS00_Gear511"="C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe" [2003-07-31 02:52 401408]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-15 23:41 1232152]
"EazyScheduler"="C:\Programme\Eazy-Ware\ezSched.exe" [2007-02-08 13:46 430408]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 11:22 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-12-31 12:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.YV12"= stvcodec.dll
"vidc.xvid"= xvid.dll
"VIDC.DVSD"= pdvcodec.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"vidc.MJPG"= stvcodec.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
--a------ 2002-11-02 08:33 45056 C:\Programme\CloneDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckElbyCDFL]
--a------ 2001-12-06 13:09 45056 C:\Programme\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2004-07-28 16:28 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2003-11-19 17:48 32881 C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2004-06-21 17:26 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SmartFTP\\SmartFTP.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"49001:TCP"= 49001:TCP:Fritz

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-15 23:41]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys [2006-03-23 08:38]
R1 SSHDRV75;SSHDRV75;C:\WINDOWS\System32\drivers\SSHDRV75.sys [2004-05-10 11:30]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-15 23:41]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 10:14]
R3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\system32\AWINDIS5.SYS [2002-04-11 17:43]
R3 POWERKEY;POWERKEY;C:\Programme\Launch Manager\POWERKEY.sys [2000-12-19 18:29]
R3 WBMS;Winbond Memory Stick Storage (MS) Device Driver;C:\WINDOWS\system32\Drivers\WBMS.SYS [2002-11-07 20:48]
R3 WBSD;Winbond Secure Digital Storage (SD/MMC) Device Driver;C:\WINDOWS\system32\Drivers\WBSD.SYS [2002-11-28 18:04]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 AVerE506;AVerE506 service;C:\WINDOWS\system32\DRIVERS\AVerE506.sys [2005-12-28 05:47]
S3 AVHybrid;AVHybrid service;C:\WINDOWS\system32\DRIVERS\AVHybrid.sys [2005-01-13 11:30]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 01:00]
S3 DLPortIO;DriverLINX Port I/O Driver;D:\Datenaustausch\vrs\DLPortIO.SYS []
S3 NETGEAR_WG511_SERVICE;NETGEAR WG511T Wireless Adapter Service;C:\WINDOWS\system32\DRIVERS\wg511nd5.sys [2003-06-20 13:47]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS [2004-03-24 04:12]
S3 PEEK5;PEEK5 Protocol Driver;D:\DOWNLO~1\DOWNLO~1\wlan\AIRCRA~1.4\win32\PEEK5.SYS [2005-11-12 12:00]
S3 PFMPR5;PFMPR5 NDIS Protocol Driver;C:\WINDOWS\System32\PFMPR5.SYS []
S3 PFNDIS5;PFNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\PFNDIS5.SYS []
S3 PPJoyBus;Parallel Port Joystick Bus device driver;C:\WINDOWS\system32\drivers\PPJoyBus.sys [2004-10-24 08:11]
S3 PPortJoystick;Parallel Port Joystick device driver;C:\WINDOWS\system32\drivers\PPortJoy.sys [2004-10-24 08:11]
S3 PRISM_ICB;NETGEAR WG511 Wireless LAN Driver;C:\WINDOWS\system32\DRIVERS\WG511ICB.sys []
S3 STV679;NMS Video Camera (Webcam);C:\WINDOWS\system32\drivers\STV679.sys [2003-12-16 15:35]
S3 STV679m;NMS Video Camera (Webcam)m;C:\WINDOWS\system32\drivers\STV679m.sys [2003-12-16 15:35]
S3 VisorUsb;Handspring USB;C:\WINDOWS\system32\DRIVERS\VisorUsb.sys []
S3 Vsp;Vsp;C:\WINDOWS\System32\drivers\Vsp.sys [2003-05-27 16:45]
S3 w550bus;Sony Ericsson W550 driver (WDM);C:\WINDOWS\system32\DRIVERS\w550bus.sys []
S3 w550mdfl;Sony Ericsson W550 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w550mdfl.sys []
S3 w550mdm;Sony Ericsson W550 USB WMC Modem Drivers;C:\WINDOWS\system32\DRIVERS\w550mdm.sys []
S3 w550mgmt;Sony Ericsson W550 USB WMC Device Management Drivers;C:\WINDOWS\system32\DRIVERS\w550mgmt.sys []
S3 w550obex;Sony Ericsson W550 USB WMC OBEX Interface Drivers;C:\WINDOWS\system32\DRIVERS\w550obex.sys []
S3 zlportio;zlportio;C:\Dokumente und Einstellungen\Christian\Desktop\Ultrastar\zlportio.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e0bf714-9399-11db-a910-00040ead0b86}]
\Shell\AutoRun\command - E:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{476088b8-2c5f-11da-a4c9-000ae44bab7c}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a9f379a-ee9f-11db-8850-00040ead0b86}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ef52598-f2a0-11db-8861-00040ead0b86}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66711b70-dfa8-11db-881e-00040ead0b86}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{915b4a72-0004-11dd-8b2c-000ae44bab7c}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

.
Inhalt des "geplante Tasks" Ordners
"2006-02-26 15:43:08 C:\WINDOWS\Tasks\AVerTV Hybrid + FM Cardbus.job"
- C:\PROGRA~1\AVERTV~1\AVerTV.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
HKLM-Run-NBKeyScan - C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-EPSON PictureMate 500 (Kopie 1) - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9TE.EXE
MSConfigStartUp-Sony Ericsson PC Suite - C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 23:50:14
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAMME\AVG\AVG8\AVGWDSVC.EXE
C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\locator.exe
C:\WINDOWS\system32\wltrysvc.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRAMME\AVG\AVG8\AVGRSX.EXE
C:\PROGRAMME\AVG\AVG8\AVGRSX.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 23:54:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 21:54:42

17 Verzeichnis(se), 11,022,630,912 Bytes frei
27 Verzeichnis(se), 10,943,774,720 Bytes frei

237

#2 Hallo,Bitte-ein-BIT

wende gmer an, lasse scannen + poste den report
http://virus-protect.org/artikel/tools/gmer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina!
Whow, ihr seid ja echt schnell ...

Hier das Ergebnis von gmer:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-16 00:36:40
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 mouclass.sys (Mausklassentreiber/Microsoft Corporation)

Device \Driver\prodrv06 \Device\ProDrv06 E1D85C30
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E1009E48

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xE9 0x02 0x6C 0xFA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version
Reg HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version 0x2D 0xD1 0x70 0x1B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.14 ----

#4 Hallo,Bitte-ein-BIT

1.
ComboFix entfernen (samt Backup)
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

2.
mache einen Onlinescan mit Bitdefender , poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Ok, Combofixist deinstalliert.
Nur mit Bitdefender habe ich irgendwie Probleme.
Klar, ich habe den IE genommen und auch ActiveX zugelassen, aber die Internetseite zeigt die ganze Zeit nur "Loading". Der Anzeigebalken ist schon etliche Male durchgelaufen und hat wieder von vorne angefangen.
Im IE steht unten "Komponenten werden installiert ... oscan8.cab".
Sowas kann aber doch nicht über eine Stunde dauern, oder? Er scannt ja noch nicht ...

#6 sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

-----

dann versuche es noch mal mit dem Online-Virenscan
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina!

Hm, sdfix will irgendwie nicht.
Hab es genau nach Anleitung versucht. Im Abgesicherten Modus startet das Programm auch, danach Eingabe von "y" zum Bestätigen. Danach zeigt das Fenster aber die ganze Zeit nur "Starting repairs" und "Checking running processes and Services". Nach einer Minute kam dann ein Piepton, sonst nix - jetzt schon seit 30 Minuten ...

#8 dann breche das programm ab und versuche es noch mal.
komisch, denn eigentlich sollte alles wieder i.o. sein, ich wollte nur, dass die host gereinigt wird und nochmal der temp-Ordner gereinigt.
Hatte nicht erwartet, dass es zu komplikationen kommt
Aber beim Bagel-Wurm muss man auf alles gefasst sein...............
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Habe mich gerade extra nochmal im Abgesicherten Modus als Admin eingeloggt und nochmal versucht zu starten - wieder das gleiche :-(

Dabei sieht man im Task-Manager daß nur ganz wenige Prozesse laufen ...
Das Programm stürzt auch nicht ab, der Cursor blinkt durchgehend.

Gibt es noch eine andere Möglichkeit zum checken?
Meinst du wirklich, daß ich mit dem ersten Combofix-Anlauf alles erwischt hatte?

Ach ja, seit Combofix starten meine Yahoo-Widgets nicht mehr beim Systemstart mit - ebenso wie AVGfree8. Muss ich dafür noch etwas ändern bzw. neu installieren? Oder ist das etwa doch noch der Bagel?

#10 ich würde an deiner Stelle zwei Dinge versuchen:

1.
eine Systemwiederherstellung auf einen Tag vor der verseuchung (dann mit Combofix prüfen)

oder:

2.
oder alle Daten sichern und platt machen... ist beim Bagle immer noch das sicherste.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Vielen Dank für deine Tipps!

Tja, das ist alles sehr kurios!
Bevor ich gestern Combofix verwendet habe, hatte ich eine Systemwiederherstellung versucht - die ist jedoch fehlgeschlagen.
Nach Combofix sind alle Wiederherstellungspunkte verschwunden (ich hatte recht oft welche gesetzt!), so daß ich das leider nicht mehr machen kann

Tja, auf platt machen hatte ich eigentlich keine Lust ... sieht aber nach der einzigen Möglichkeit aus, oder? Mir bleibt höchstens noch ein Komplett-Image (mit Acronics True-Image erstellt) von vor einem Monat - da muss ich nur meine aktuellen Daten sichern. Oder kann der Wurm auch schon in diesen Daten drin sein?

#12 das mit dem Image ist eine gute, bessere Idee, wusste nicht, dass du eins hast.
wenn es eingespielt ist, prüfe mit combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo, ktc_jan

mache bitte einen eigenen Beitrag auf, das hier ist der Bagle-Wurm und nicht dein Thread.
__________
MfG Sabina

rund um die PC-Sicherheit