Windows Warning Message + Antivirus 2008 IE gehen nicht weg

#0
10.09.2008, 17:58
Member

Beiträge: 27
#61 Wie immer: "Einhabeaufforderung durch denAdmin. deaktiviert".
Was sich verändert hat ist, dass sich das Fenster nun aber nicht mehr sofort schließt, sondern erst, wenn man eine Taste drückt.

Bis nächste Woche also, viel Spaß und tausend Dank!
Seitenanfang Seitenende
10.09.2008, 22:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#62 Neben DrWeb Cureit gibt es auch ein tool von Kaspersky Remove Tool
Benutze die auch mal http://www.virus-protect.org/artikel/tools/kaspersky.html
Und scanne mit Ewido Micro http://downloads.ewido.net/ewido_micro.exe
__________
MfG Argus
Seitenanfang Seitenende
14.09.2008, 18:29
...neu hier

Beiträge: 3
#63 Hi

ich habe mir auch das "Windows warning message" malware eingefangen
ausserdem erfolgt bei links in mozilla immer ein redirect zu werbeseite
AntiVir hilft nicht weiter, findet zwar und löscht aber trotzdem diese bitmap als hintergrund und redirect

HJT sagt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:46, on 14.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\Explorer.EXE
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Windows\system32\PROMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Creative\Shared Files\CTSched.exe
C:\Windows\system32\lphcjmgj0enfl.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Windows\System32\svchost.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Malwarebytes\mbam.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [lphcjmgj0enfl] C:\Windows\system32\lphcjmgj0enfl.exe
O4 - HKLM\..\Run: [inrhcnmgj0enfl] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttC8.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BC3AB383287993C2D512AC3AFFD86083F644EFD271DE827CAFA48F8ECF9088C31B85A62A022F77505A0BF2C520F9A3849C3C9D41FDF499D9F8B564F20063B672131C
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7965 bytes

ich hoffe Ihr könnt mir weiter helfen
Seitenanfang Seitenende
14.09.2008, 21:10
Moderator

Beiträge: 5694
#64 kroete1982

>>
cleaner anwenden
http://www.virus-protect.org/ccleaner.html


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei


Zitat

O4 - HKLM\..\Run: [lphcjmgj0enfl] C:\Windows\system32\lphcjmgj0enfl.exe

O4 - HKLM\..\Run: [inrhcnmgj0enfl] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttC8.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BC3AB383287993C2D512AC3AFFD86083F644EFD271DE82 7CAFA48F8ECF9088C31B85A62A022F77505A0BF2C520F9A3849C3C9D41FDF499D9F8B564F20063B6 72131C
und wähle fix checked.

>>
mache einen Scan mit Malwarebytes -
http://virus-protect.org/artikel/tools/malwarebytes.html

vergiss nicht, Mbam vor dem ersten Suchlauf zu aktualisieren und alles entfernen zu lassen, was gefunden wird

>>
wende Combofix an - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss
Seitenanfang Seitenende
15.09.2008, 00:08
...neu hier

Beiträge: 3
#65 Danke Dir

fixes bei HJT haben die Anvirus XP Malware entfernt

mit Malwarebytes habe ich jetzt keine "offentsichtlichen" Probleme mehr
habe nur einen Quickscan durchführen können, da sonst immer PC abstürzte,
werde morgen nochmal komplett scanen:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1152
Windows 5.1.2600 Service Pack 2

14.09.2008 23:59:49
mbam-log-2008-09-14 (23-59-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49470
Laufzeit: 5 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 23

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcjmgj0enfl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcjmgj0enfl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcjmgj0enfl.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Vielen Dank
Seitenanfang Seitenende
15.09.2008, 01:43
Moderator

Beiträge: 5694
#66 kroete1982

Aber poste dannach noch ein combofix-Log

Gruss Swiss
Seitenanfang Seitenende
15.09.2008, 13:30
Member

Beiträge: 27
#67 @ Arnold

Hab mit Kaspersky gescannt und es wurde wohl auch einiges noch gefunden und beseitigt (Report im Anhang). Ewido Micro lässt sich runterladen. Beim Ausführen zeigt das Programm aber immer einen Fehler. Bin ünrigens jetzt oft unterwegs. Schaue in jeder freien Minute ins Forum. Kann aber immer ein bisschen dauern!

Seitenanfang Seitenende
15.09.2008, 14:01
...neu hier

Beiträge: 3
#68 @tonstudio, also für einen Laien wie mich sehe ich nichts malwareriges:

ComboFix 08-09-14.06 - Administrator 2008-09-15 13:45:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.639 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\inst.exe
C:\test.txt
C:\Windows\system32\a.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-15 bis 2008-09-15 ))))))))))))))))))))))))))))))
.

2008-09-15 00:15 . 2008-09-15 00:15 710,702 --a------ C:\zbaszyn.bmp
2008-09-14 23:50 . 2008-09-14 23:51 <DIR> d-------- C:\Programme\Malwarebytes
2008-09-14 23:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-14 23:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-14 18:33 . 2008-09-14 18:33 <DIR> d-------- C:\Programme\CCleaner
2008-09-14 17:20 . 2008-09-14 17:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ppStream
2008-09-14 17:20 . 2008-09-14 17:23 381 --a------ C:\WINDOWS\psnetwork.ini
2008-09-14 17:18 . 2008-09-14 17:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Synacast
2008-09-14 17:18 . 2008-09-14 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PPMate
2008-09-14 15:26 . 2008-09-14 23:41 <DIR> d-------- C:\Programme\HJT
2008-09-14 15:22 . 2008-09-14 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-14 15:22 . 2008-09-14 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-26 23:21 . 2008-08-26 23:21 <DIR> d-------- C:\Programme\Real
2008-08-26 23:21 . 2008-08-28 20:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-08-19 18:51 . 2008-08-19 18:51 137,344 --a------ C:\WINDOWS\system32\drivers\hwpsgt.sys
2008-08-19 18:51 . 2008-08-19 18:51 9,472 --a------ C:\WINDOWS\system32\drivers\lemsgt.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 17:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-14 15:20 --------- d-----w C:\Programme\MSN Messenger
2008-09-14 12:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-09-07 01:52 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-08-19 17:04 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000
2008-08-11 08:21 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ascaron Entertainment
2008-02-04 13:25 47,360 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\Windows\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\Windows\System32\igfxtray.exe" [2002-05-14 155648]
"HotKeysCmds"="C:\Windows\System32\hkcmd.exe" [2002-05-14 114688]
"CPQEASYACC"="C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe" [2001-12-14 32768]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 90112]
"DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-04-20 69632]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 266497]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-10-22 86016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"CreativeTaskScheduler"="C:\Programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"PROMon.exe"="PROMon.exe" [2002-06-04 C:\WINDOWS\system32\PROMon.exe]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\Windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"G:\\PES 6\\PES6.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"G:\\Civ IV\\Civilization4.exe"=
"G:\\Civ IV\\Beyond the Sword\\Civ4BeyondSword.exe"=
"G:\\Civ IV\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\BACKUP\\Archive\\illegal_tools\\utorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SSHDRV79;SSHDRV79;C:\Windows\system32\drivers\SSHDRV79.sys [2007-04-07 75264]
R2 SVKP;SVKP;C:\Windows\system32\SVKP.sys [2008-03-24 2368]
R3 V0260VID;Live! Cam Vista IM;C:\Windows\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]
S3 ldiskl;ldiskl;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ldiskl.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecc77e75-2e75-11dd-b2cd-000bcd1fc62f}]
\shell\verb1\command - H:\desktop.exe

*Newly Created Service* - NMSCFG
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{140BD8E3-C167-11D4-B4A3-080000180323} - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\zrzowqww.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 13:50:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\Windows\system32\winlogon.exe
-> C:\Programme\Citrix\ICA Client\pnsson.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NMSSvc.Exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\COMPAQ\Easy Access Button Support\CPQEADM.exe
C:\Compaq\eakdrv\EAUSBKBD.exe
C:\PROGRA~1\COMPAQ\EASYAC~1\BttnServ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-15 13:56:28 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-09-15 11:56:21

Pre-Run: 8,453,115,904 Bytes frei
Post-Run: 9,434,247,168 Bytes frei

140 --- E O F --- 2007-05-09 19:36:25
Seitenanfang Seitenende
17.09.2008, 15:12
Moderator

Beiträge: 5694
#69 kroete1982

>>
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

>>
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

>>
Und scanne mit Ewido Micro http://downloads.ewido.net/ewido_micro.exe

Gruss Swiss
Seitenanfang Seitenende
25.09.2008, 17:11
Member

Beiträge: 27
#70 @Arnold

Habe MBAM, ComboFix und HJT durchlaufen lassen.
Logs findest Du im Anhang.

Übrigens: der Task-Manager funktioniert wieder der "Ausführen"-Befehl ist auch wieder da. Scheint also, als hätte ich meine Admin-Rechte zurück!

Seitenanfang Seitenende
25.09.2008, 17:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#71 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\Drivers\Xek06.sys
C:\p2hhr.bat
C:\WINDOWS\system32\urswdpws.tmp

Driver::
Xek06.sys
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus
Seitenanfang Seitenende
25.09.2008, 17:39
Member

Beiträge: 27
#72 ComboFix 08-09-24.12 - Fred 2008-09-25 17:37:02.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.642 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Fred\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fred\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\p2hhr.bat
C:\WINDOWS\system32\Drivers\Xek06.sys
C:\WINDOWS\system32\urswdpws.tmp
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\p2hhr.bat
C:\WINDOWS\system32\urswdpws.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Programme\iTunes
2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-25 08:53 . 2008-09-25 15:56 <DIR> d-------- C:\Programme\Bonjour
2008-09-25 08:52 . 2008-09-25 08:53 <DIR> d-------- C:\Programme\QuickTime
2008-09-12 12:43 . 2008-09-12 15:49 616,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-12 12:43 . 2008-09-12 15:49 8,300 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-10 08:58 . 2008-09-10 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\DoctorWeb
2008-09-09 13:17 . 2008-09-09 13:18 <DIR> d-------- C:\Fred
2008-09-08 18:00 . 2008-09-09 09:40 <DIR> d-------- C:\327882R2FWJFW
2008-09-08 15:11 . 2008-09-25 16:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\Malwarebytes
2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-08 15:11 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-08 15:11 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Programme\Avira
2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-08 12:19 . 2008-09-08 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-09-08 12:16 . 2008-09-08 12:46 2 --a------ C:\2093688704
2008-09-08 11:43 . 2008-09-08 11:44 <DIR> d-------- C:\Programme\DivX
2008-09-08 11:43 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-09-08 11:43 . 2008-07-23 18:50 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-08 11:43 . 2008-07-23 18:50 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-08 11:40 . 2008-09-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\DivX
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-03 10:36 . 2008-09-03 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\.jenny
2008-09-02 11:20 . 2005-10-14 22:42 37,376 --a------ C:\WINDOWS\system32\hpz3l43a.dll
2008-09-02 11:17 . 2008-09-02 11:17 <DIR> d-------- C:\Programme\HP
2008-09-02 11:17 . 2005-03-14 12:03 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2008-09-02 11:17 . 2005-03-14 12:05 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2008-09-02 11:17 . 2005-03-08 11:55 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2008-09-02 11:17 . 2005-03-14 12:05 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2008-09-02 11:17 . 2005-03-14 13:39 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe
2008-09-02 11:17 . 2005-03-08 11:55 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-29 10:18 . 2008-08-29 10:18 87,336 --a------ C:\WINDOWS\system32\dns-sd.exe
2008-08-29 09:53 . 2008-08-29 09:53 61,440 --a------ C:\WINDOWS\system32\dnssd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 14:13 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-25 06:56 --------- d-----w C:\Programme\Apple Software Update
2008-09-25 06:54 --------- d-----w C:\Programme\iPod
2008-09-25 06:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2005-10-07 176128]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 684032]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Fred\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-09-07 18:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xek06.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-05-28 81408]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520]
R2 HPOPAR05;HPOPAR05;C:\WINDOWS\system32\drivers\HPOPAR05.SYS [1999-08-30 36128]
R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-07-16 37568]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 87936]
S0 Xek06;Xek06;C:\WINDOWS\system32\Drivers\Xek06.sys [ ]
S3 dtwmnic5;Telekom Eumex 604PC HomeNet;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [ ]
S3 FXUSBASE;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2002-07-16 498672]
S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [ ]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 27072]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 17:37:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 17:39:04
ComboFix-quarantined-files.txt 2008-09-25 15:38:43
ComboFix2.txt 2008-09-25 15:05:07

Vor Suchlauf: 14 Verzeichnis(se), 31.866.929.152 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 31,853,441,024 Bytes frei

162 --- E O F --- 2008-09-10 09:30:47
Seitenanfang Seitenende
25.09.2008, 17:53
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#73 Nochmal ;)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\Drivers\Xek06.sys

Driver::
Xek06.sys

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xek06.sys]
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus
Seitenanfang Seitenende
25.09.2008, 18:04
Member

Beiträge: 27
#74 ComboFix 08-09-24.12 - Fred 2008-09-25 18:01:32.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.619 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Fred\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Fred\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\WINDOWS\system32\Drivers\Xek06.sys
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Programme\iTunes
2008-09-25 08:54 . 2008-09-25 08:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-25 08:53 . 2008-09-25 15:56 <DIR> d-------- C:\Programme\Bonjour
2008-09-25 08:52 . 2008-09-25 08:53 <DIR> d-------- C:\Programme\QuickTime
2008-09-12 12:43 . 2008-09-12 15:49 616,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-12 12:43 . 2008-09-12 15:49 8,300 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-10 08:58 . 2008-09-10 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\DoctorWeb
2008-09-09 13:17 . 2008-09-09 13:18 <DIR> d-------- C:\Fred
2008-09-08 18:00 . 2008-09-09 09:40 <DIR> d-------- C:\327882R2FWJFW
2008-09-08 15:11 . 2008-09-25 16:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\Malwarebytes
2008-09-08 15:11 . 2008-09-08 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-08 15:11 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-08 15:11 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Programme\Avira
2008-09-08 12:47 . 2008-09-08 12:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-08 12:19 . 2008-09-08 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-09-08 12:16 . 2008-09-08 12:46 2 --a------ C:\2093688704
2008-09-08 11:43 . 2008-09-08 11:44 <DIR> d-------- C:\Programme\DivX
2008-09-08 11:43 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-09-08 11:43 . 2008-07-23 18:50 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-08 11:43 . 2008-07-23 18:50 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-08 11:40 . 2008-09-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\Anwendungsdaten\DivX
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-03 10:36 . 2008-09-03 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\Fred\.jenny
2008-09-02 11:20 . 2005-10-14 22:42 37,376 --a------ C:\WINDOWS\system32\hpz3l43a.dll
2008-09-02 11:17 . 2008-09-02 11:17 <DIR> d-------- C:\Programme\HP
2008-09-02 11:17 . 2005-03-14 12:03 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2008-09-02 11:17 . 2005-03-14 12:05 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2008-09-02 11:17 . 2005-03-08 11:55 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2008-09-02 11:17 . 2005-03-14 12:05 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2008-09-02 11:17 . 2005-03-14 13:39 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe
2008-09-02 11:17 . 2005-03-08 11:55 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-02 11:14 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-29 10:18 . 2008-08-29 10:18 87,336 --a------ C:\WINDOWS\system32\dns-sd.exe
2008-08-29 09:53 . 2008-08-29 09:53 61,440 --a------ C:\WINDOWS\system32\dnssd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 14:13 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-25 06:56 --------- d-----w C:\Programme\Apple Software Update
2008-09-25 06:54 --------- d-----w C:\Programme\iPod
2008-09-25 06:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2005-10-07 176128]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 684032]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Fred\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-09-07 18:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-05-28 81408]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 59520]
R2 HPOPAR05;HPOPAR05;C:\WINDOWS\system32\drivers\HPOPAR05.SYS [1999-08-30 36128]
R3 AVMWAN;NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2002-07-16 37568]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 87936]
S0 Xek06;Xek06;C:\WINDOWS\system32\Drivers\Xek06.sys [ ]
S3 dtwmnic5;Telekom Eumex 604PC HomeNet;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [ ]
S3 FXUSBASE;Teledat X120 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2002-07-16 498672]
S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [ ]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 27072]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 18:02:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 18:03:36
ComboFix-quarantined-files.txt 2008-09-25 16:03:11
ComboFix2.txt 2008-09-25 15:05:07

Vor Suchlauf: 14 Verzeichnis(se), 31.842.209.792 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 31,828,688,896 Bytes frei

153 --- E O F --- 2008-09-10 09:30:47
Seitenanfang Seitenende
25.09.2008, 18:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#75 Wie ist es mit den Abgesichterten Modus,geht es oder nicht?
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: