winivstr.exe startet im taskmanager-Windows has detected spyware - XPSecurityCen

#0
22.07.2008, 22:25
...neu hier

Beiträge: 1
#1 hi sabina,

hier mein logfile von combofix:
ComboFix 08-07-21.2 - User 2008-07-22 21:58:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.60 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@48C@B24218.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@48C@B24248.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@48C@B24278.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@6C4@B24218.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@6C4@B24248.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@6C4@B24278.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@700@B24218.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@700@B24248.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@700@B24278.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@A84@B24218.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@A84@B24248.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@A84@B24278.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@D0C@394218.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@D0C@394248.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@D0C@394278.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@DF0@394218.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@DF0@394248.###
C:\Dokumente und Einstellungen\User\Anwendungsdaten\.#\MBX@DF0@394278.###
C:\WINDOWS\system32\_000121_.tmp.dll
C:\WINDOWS\system32\_000228_.tmp.dll
C:\WINDOWS\system32\TEVPXCW60.DLL
C:\WINDOWS\TDEVXCW60.DLL

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-22 bis 2008-07-22 ))))))))))))))))))))))))))))))
.

2008-07-22 07:58 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-07-22 07:58 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-07-22 06:34 . 2008-07-22 06:34 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-22 06:34 . 2008-07-22 06:34 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2008-07-22 06:34 . 2008-07-22 06:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-22 06:34 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-22 06:34 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-22 06:29 . 2008-07-22 06:30 <DIR> d-------- C:\Programme\CCleaner
2008-07-22 06:12 . 2008-07-22 06:12 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\AVGTOOLBAR
2008-07-22 06:11 . 2008-07-22 06:11 <DIR> d-------- C:\Programme\AVG
2008-07-22 06:11 . 2008-07-22 06:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-07-22 04:41 . 2008-07-22 04:41 <DIR> d-------- C:\Programme\Trend Micro
2008-07-21 21:11 . 2008-07-21 21:11 <DIR> d-------- C:\Programme\mIRC
2008-07-21 21:11 . 2008-07-22 03:02 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\mIRC
2008-07-21 07:02 . 2008-07-21 07:15 <DIR> d-------- C:\Programme\WalkerPoker
2008-07-07 12:15 . 2008-07-07 12:16 <DIR> d-------- C:\Programme\LuckyAcePoker.com
2008-07-04 17:26 . 2008-07-09 08:32 <DIR> d-------- C:\Programme\5APoker
2008-07-04 17:14 . 2008-07-04 17:14 <DIR> d-------- C:\Programme\B2BPOKER
2008-07-03 07:50 . 2008-07-03 09:37 <DIR> d-------- C:\Programme\RaiseandFold
2008-07-03 00:44 . 2008-07-03 00:45 <DIR> d-------- C:\Programme\Play65
2008-07-03 00:31 . 2008-07-03 00:31 <DIR> d-------- C:\Rummy Royal
2008-07-03 00:30 . 2008-07-03 00:30 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\RM Royal Media Ltd
2008-06-30 21:16 . 2008-07-22 03:51 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\skypePM
2008-06-30 21:16 . 2008-06-30 21:16 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-06-30 21:11 . 2008-07-22 07:59 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Skype
2008-06-30 21:10 . 2008-06-30 21:10 <DIR> dr------- C:\Programme\Skype
2008-06-30 21:10 . 2008-06-30 21:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-06-30 21:09 . 2008-06-30 21:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-29 10:05 . 2008-06-30 04:40 <DIR> d-------- C:\Programme\CarbonPoker
2008-06-23 00:34 . 2008-06-23 00:51 <DIR> d-------- C:\Programme\NoPayPOKER

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 06:16 --------- d-----w C:\Programme\UltimateZip 2007
2008-07-22 03:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-22 03:48 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-22 02:56 --------- d-----w C:\Programme\ABC Amber Audio Converter
2008-07-20 21:24 --------- d-----w C:\Programme\Warcraft III
2008-07-19 11:04 --------- d-----w C:\Programme\OTTO plus
2008-07-16 17:27 1,635 ----a-w C:\WINDOWS\Fonts\roman.fon
2008-07-16 00:55 --------- d-----w C:\Programme\PokerStars
2008-07-12 17:28 --------- d-----w C:\Programme\CC-Bar
2008-07-06 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spadester
2008-06-26 00:06 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Microgaming
2008-06-24 18:06 --------- d-----w C:\Programme\Full Tilt Poker
2008-06-24 13:13 --------- d-----w C:\Programme\WorldPokerTour
2008-06-13 11:50 --------- d-----w C:\Programme\PKR
2008-06-12 07:56 --------- d-----w C:\Programme\Axxo Poker
2008-06-10 21:23 --------- d-----w C:\Programme\PartyGaming
2008-06-04 00:45 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\TurboDemo
2008-06-04 00:43 --------- d-----w C:\Programme\TurboDemo 7.5 Testversion
2008-06-03 22:19 --------- d-----w C:\Programme\B4Playing
2008-06-03 22:19 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Roaming
2008-06-03 05:24 --------- d-----w C:\Programme\Efficient WMA MP3 Converter
2008-06-03 01:07 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2008-05-30 15:01 --------- d-----w C:\Programme\MSN Messenger
2008-05-30 02:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McPoker
2008-05-30 02:11 --------- d-----w C:\Programme\McPoker
2008-05-28 16:41 --------- d-----w C:\Programme\Action Poker
2008-05-26 21:28 --------- d-----w C:\Programme\Poker Royale
2008-05-24 09:08 --------- d-----w C:\Programme\UltimateBet
1996-08-07 08:28 681 ----a-w C:\Programme\README
1996-08-01 16:15 20,736 ----a-w C:\Programme\ADLIB.IMS
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-06-14 20:09 26996008]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"Outpost Firewall"="C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe" [2003-07-16 17:09 86016]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 08:00 94208]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 15:09 249856]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-11-11 14:00 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^B4Playing Smart Tool.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\B4Playing Smart Tool.lnk
backup=C:\WINDOWS\pss\B4Playing Smart Tool.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2007-04-22 15:25 327720 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]
--a------ 2004-08-06 03:50 139320 C:\Programme\Network Associates\Common Framework\UpdaterUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVG Anti-Spyware Guard"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"OutpostFirewall"=2 (0x2)
"IDriverT"=3 (0x3)
"McTaskManager"=2 (0x2)
"McShield"=2 (0x2)
"McAfeeFramework"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Sea3D\\Sea3D.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowInboundTimestampRequest"= 1 (0x1)
"AllowInboundMaskRequest"= 1 (0x1)
"AllowInboundRouterRequest"= 1 (0x1)
"AllowOutboundDestinationUnreachable"= 1 (0x1)
"AllowOutboundSourceQuench"= 1 (0x1)
"AllowOutboundParameterProblem"= 1 (0x1)
"AllowOutboundTimeExceeded"= 1 (0x1)
"AllowRedirect"= 1 (0x1)
"AllowOutboundPacketTooBig"= 1 (0x1)

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 17:42]
R1 VFILT;Outpost Firewall Kernel Driver;C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\2000\FILTNT.SYS [2003-07-16 17:16]
R2 NwSapAgent;SAP-Agent;C:\WINDOWS\system32\svchost.exe [2004-08-04 14:00]
S1 DMuPCI;DMuPCI;C:\WINDOWS\system32\drivers\acpanarp.sys []
S3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\ADBLOCK.DLL [2003-07-16 17:08]
S3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\CONTENT.DLL [2003-07-16 17:08]
S3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\DNSCACHE.DLL [2003-07-16 17:08]
S3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\FTPFILT.DLL [2003-07-16 17:08]
S3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\HTMLFILT.DLL [2003-07-16 17:08]
S3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\HTTPFILT.DLL [2003-07-16 17:08]
S3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\IMAPFILT.DLL [2003-07-16 17:08]
S3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\MAILFILT.DLL [2003-07-16 17:08]
S3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\NNTPFILT.DLL [2003-07-16 17:08]
S3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\POP3FILT.DLL [2003-07-16 17:08]
S3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);C:\PROGRA~1\Agnitum\OUTPOS~1\kernel\PROTECT.DLL [2003-07-16 17:08]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKU-Default-RunOnce-SSS2006 - C:\Programme\Steganos Security Suite 2006\SSS2006.exe
Notify-WgaLogon - (no file)
MSConfigStartUp-MSMSGS - C:\Programme\Messenger\msmsgs.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Settings,ProxyServer = 127.0.0.1.:4001
O9 -: {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 -: {7220F1C9-B7E0-47a6-A0BD-D5B3940BCC79} - C:\Microgaming\Poker\pokertimeMPP\MPPoker.exe
O9 -: {85BFB6E0-96F9-4424-8819-1D67E9F78D33} - C:\Microgaming\Poker\goldenrivieraMPP\MPPoker.exe
O9 -: {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 -: {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-22 22:07:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-22 22:17:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-22 20:17:48

Pre-Run: 22 Verzeichnis(se), 23,515,873,280 Bytes frei
Post-Run: 28 Verzeichnis(se), 23,672,950,784 Bytes frei

217 --- E O F --- 2008-07-22 01:01:03

willst du crapcleaner und malwarebytes auch noch?bzw. mein hijackthis log? das is mittlerweile wieder sauber...
Seitenanfang Seitenende
23.07.2008, 00:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,noobyfish

«
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann sollte wieder alles i.o. sein, am besten scanne mit Malwarebytes noch mal, im abgsicherten Modus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende