Verdacht auf infiziertes System

#0
24.08.2008, 18:55
Member

Beiträge: 11
#1 Hallo,

ich habe den Verdacht, dass mein PC von einer bestimmten Person, die hier aber wohl keine Rolle spielen dürfte, mit Malware infiziert worden sein könnte.
Deshalb wende ich mich hiermit an die Experten unter euch.


Log von a-squared Free:

Zitat

a-squared Free - Version 3.5
Letztes Update: 24.08.2008 15:20:51

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\, D:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 24.08.2008 15:21:59

Key: HKEY_LOCAL_MACHINE\software\orl\winvnc3 gefunden: Trace.Registry.VNC.CommonComponents
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\winvnc gefunden: Trace.Registry.VNC.CommonComponents
c:\dokumente und einstellungen\all users\startmenü\programme\etherdetect gefunden: Trace.Directory.EtherDetect
c:\programme\etherdetect gefunden: Trace.Directory.EtherDetect
c:\dokumente und einstellungen\all users\startmenü\programme\etherdetect\etherdetect help.lnk gefunden: Trace.File.EtherDetect
c:\dokumente und einstellungen\all users\startmenü\programme\etherdetect\etherdetect.lnk gefunden: Trace.File.EtherDetect
c:\dokumente und einstellungen\all users\startmenü\programme\etherdetect\tutorial.lnk gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\ed_help.chm gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\etherd.exe gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\eula.txt gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\install.log gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\readme.txt gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\tips.txt gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\tutorial.htm gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\tutorial.swf gefunden: Trace.File.EtherDetect
c:\programme\etherdetect\winpcap.exe gefunden: Trace.File.EtherDetect
Value: HKEY_USERS\S-1-5-21-2199244435-2486180873-1906984339-1008\Software\EffeTech\EtherDetect\Reg --> SetupTime gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_USERS\S-1-5-21-2199244435-2486180873-1906984339-1008\Software\EffeTech\EtherDetect\Tip --> FilePos gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_USERS\S-1-5-21-2199244435-2486180873-1906984339-1008\Software\EffeTech\EtherDetect\Tip --> TimeStamp gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> Contact gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> DisplayName gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> DisplayVersion gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> HelpLink gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> Publisher gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> UninstallString gefunden: Trace.Registry.EtherDetect 1.4
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EtherDetect Packet Sniffer v1.4 --> URLInfoAbout gefunden: Trace.Registry.EtherDetect 1.4
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\h2jlz9eo.default\cookies.txt:48 gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\h2jlz9eo.default\cookies.txt:106 gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Gedownloadetes\Downloads\Executables\1,17.rar/mbam-setup.exe gefunden: Riskware.FraudTool.Win32.SpyNoMore.g
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Gedownloadetes\Downloads\Executables\1111_games\1111 JAVA Games fue Handys\ActiveViewer\vnc-3.3.7-x86_win32.zip/vnc-3.3.7-x86_win32.exe gefunden: Riskware.RemoteAdmin.Win32.WinVNC-based.c
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Gedownloadetes\Downloads\Executables\EtherDetect_setup.exe gefunden: Adware.Win32.EtherDetect1.4
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Meine empfangenen Dateien\start.rar/start.exe gefunden: Trojan.BAT.Agent.bx
C:\hp\bin\KillWind.exe gefunden: Riskware.RiskTool.Win32.PsKill.p

Gescannt

Dateien: 472470
Traces: 425107
Cookies: 202
Prozesse: 27

Gefunden

Dateien: 5
Traces: 26
Cookies: 2
Prozesse: 0
Registry Keys: 0

Scan Ende: 24.08.2008 17:54:26
Scan Zeit: 2:32:27
Hierbei wurde ein "Trojan.Agent" gefunden, wobei es sich dabei definitiv nicht um die gesuchte Malware handeln kann.
Des Weiteren hat a-squared Free ja mehrmals bei dem Programm "EtherDetect" angeschlagen. Dabei handelt es sich allerdings um einen Packet-Sniffer, den ich auch erst heute installiert habe; besteht dennoch von diesem Programm aus Gefahr bzw. soll ich alle gefundenen Risiken löschen?


Dann hier noch ein HijackThis-Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:46, on 24.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\a-squared Free\a2service.exe
C:\PROGRAMME\A-SQUARED FREE\A2FREE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7000 bytes
Außerdem habe ich noch eine vollständige System-Überprüfung mit Kaspersky Internet Security 2009 sowie mit Malwarebytes' Anti-malware durchgeführt. Kaspersky hat nichts gefunden.
MBAM schlug bei 2 Dateien an.
Hier die Log-Datei:

Zitat

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 871

16:20:12 23.08.2008
mbam-log-8-23-2008 (16-20-12).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 222557
Scan Dauer: 1 hour(s), 17 minute(s), 12 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Sandbox\DefaultBox\drive\C\WINDOWS\system32\inject.dll (Trojan.Inject) -> Quarantined and deleted successfully.
Übrigends habe ich auch noch ein "CleanUp" mit dem Tool "OTMoveIt2" durchgeführt.


Nunja, jetzt ist eure Mithilfe gefragt, ich hoffe ihr könnt mir irgendwie weiterhelfen.
Dieser Beitrag wurde am 24.08.2008 um 20:02 Uhr von Alienus editiert.
Seitenanfang Seitenende
24.08.2008, 20:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2

Zitat

mein PC von einer bestimmten Person, die hier aber wohl keine Rolle spielen dürfte, mit Malware infiziert
erkläre das mal genauer... bitte
+
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2008, 22:24
Member

Themenstarter

Beiträge: 11
#3 Diese Person besitzt Informationen, die nur eine kleine Gruppe von Leuten besitzen kann.
Ebenso hat sie angedeutet, dass sie die Informationen über mich bekommen hat.

Also, entweder trifft dies wirklich zu, oder es ist nur ein Fehlalarm.

Btw: Was ist nun mit dem Programm EtherDetect? Ist es wirklich Malware?

Den Combofix-Log werde ich später bzw. morgen posten ;)
Seitenanfang Seitenende
24.08.2008, 22:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Verschiebe die Daten in Quarantäne
__________
MfG Argus
Seitenanfang Seitenende
25.08.2008, 13:13
Member

Themenstarter

Beiträge: 11
#5 So, ich habe nun den Combofix-Scan durchgeführt.
Hier der Log:

Zitat

ComboFix 08-08-24.02 - HP_Besitzer 2008-08-25 12:39:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.643 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\z.txt
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-25 bis 2008-08-25 ))))))))))))))))))))))))))))))
.

2008-08-24 15:19 . 2008-08-24 17:54 <DIR> d-------- C:\Programme\a-squared Free
2008-08-23 16:21 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 18:41 . 2008-08-18 18:41 220 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-18 18:40 . 2008-08-18 18:41 <DIR> d-------- C:\35582a36c32ff61183a531825102
2008-08-02 10:53 . 2008-08-07 12:13 <DIR> d-------- C:\Programme\Notepad++
2008-08-02 10:53 . 2008-08-02 10:54 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Notepad++
2008-07-31 02:19 . 2008-07-31 02:19 663,552 --a------ C:\WINDOWS\system32\icardres.dll.mui
2008-07-29 20:35 . 2008-07-29 20:35 326,160 --a------ C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 19:59 . 2008-07-29 19:59 781,344 --a------ C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 105,016 --a------ C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 43,544 --a------ C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 19:24 . 2008-07-29 19:24 622,080 --a------ C:\WINDOWS\system32\icardagt.exe
2008-07-29 19:24 . 2008-07-29 19:24 97,800 --a------ C:\WINDOWS\system32\infocardapi.dll
2008-07-29 19:24 . 2008-07-29 19:24 37,384 --a------ C:\WINDOWS\system32\infocardcpl.cpl
2008-07-29 19:24 . 2008-07-29 19:24 11,264 --a------ C:\WINDOWS\system32\icardres.dll
2008-07-25 14:50 . 2008-07-25 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Media Player Classic
2008-07-25 14:50 . 2008-07-25 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\DivX
2008-07-25 14:23 . 2008-07-25 14:23 <DIR> d-------- C:\Programme\Apple Software Update
2008-07-25 14:23 . 2008-07-25 14:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-25 12:08 . 2008-06-11 02:07 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-07-25 12:08 . 2008-06-11 02:07 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-07-25 12:08 . 2008-06-11 02:07 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-07-25 12:08 . 2008-06-11 02:07 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-25 12:08 . 2008-06-11 02:07 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-25 11:16 . 2008-07-25 11:16 282,112 --a------ C:\WINDOWS\system32\mscoree.dll
2008-07-25 11:16 . 2008-07-25 11:16 158,720 --a------ C:\WINDOWS\system32\mscorier.dll
2008-07-25 11:16 . 2008-07-25 11:16 96,760 --a------ C:\WINDOWS\system32\dfshim.dll
2008-07-25 11:16 . 2008-07-25 11:16 83,968 --a------ C:\WINDOWS\system32\mscories.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 10:49 4,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-25 10:49 1,073,184 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-25 10:45 5,551,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-25 10:45 44,452 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-25 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-25 10:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-24 17:09 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FileZilla
2008-08-24 09:13 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-08-23 14:20 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Desktopicon
2008-08-23 12:48 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-19 13:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-18 16:53 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-18 16:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-18 16:49 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 16:07 --------- d-----w C:\Programme\FileZilla FTP Client
2008-08-06 16:58 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-02 09:05 --------- d-----w C:\Programme\PHP Designer 2007 - Professional
2008-07-28 14:29 --------- d-----w C:\Programme\DivX
2008-07-25 17:49 --------- d-----w C:\Programme\Opera
2008-07-25 16:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\TeamViewer
2008-07-25 12:23 --------- d-----w C:\Programme\QuickTime
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-25 09:32 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-22 11:42 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-07-19 09:44 --------- d-----w C:\Programme\Electronic Arts
2008-07-16 11:22 --------- d-----w C:\Programme\EA Sports
2008-07-16 09:39 --------- d-----w C:\Programme\FileZilla-3.0.10
2008-06-26 18:09 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{36522787-1F6E-40DD-AD4D-0189F9D1181C}
2008-06-26 18:09 --------- d-----w C:\Programme\Eziriz
2008-06-26 18:05 --------- d-----w C:\Programme\Xenocode
2008-06-26 18:04 --------- d-----w C:\Programme\RustemSoft
2008-06-26 13:24 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2008-06-26 13:24 --------- d-----w C:\Programme\DVDVideoSoft
2008-06-25 11:44 --------- d-----w C:\Programme\Kaspersky Lab
2008-06-25 11:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-08 16:55 67,256 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-08 13:57 42,358 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\x.exe
2007-02-19 11:34 1 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\SI.bin
2005-12-25 11:23 0 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe

2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\dllcache\wuauclt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 18:04 52736]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-05 21:26 5566464]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35 49152]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 22:43 233472]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
"nwiz"="nwiz.exe" [2005-03-05 21:26 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a------ 2007-08-30 14:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2008-03-01 07:10 15872 C:\Programme\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)
"winvnc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AAWTray"=C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
"Reminder"="C:\Windows\Creator\Remind_XP.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
"KBD"=C:\HP\KBD\KBD.EXE
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-04-08 20:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 2h5FozI1i7BX.sys;7Q0ZheGECSb;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\2h5FozI1i7BX.sys []
S3 2MMqG2qetihR.sys;b2oL3KwaFPT;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\2MMqG2qetihR.sys []
S3 2XZp3eo915if.sys;mLGbITKjv73;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\2XZp3eo915if.sys []
S3 59xbNI6.syS;gXsDzk7;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\59xbNI6.syS []
S3 8oGjrCnu4SAu.sys;V7i8Zf3tlf1;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\8oGjrCnu4SAu.sys []
S3 a9PjoAQfCvkc.sys;XCP0MEnCNBA;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\a9PjoAQfCvkc.sys []
S3 Ae3VE3r.syS;Pvdc56W;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\Ae3VE3r.syS []
S3 DfqkUfP3zDMY.sys;3CCVnQ8gg1w;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\DfqkUfP3zDMY.sys []
S3 DJi7rONKPcjP.sys;pN1aEkzrS6w;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\DJi7rONKPcjP.sys []
S3 doqW1nPjHma4.sys;pXftFGMOhE8;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\doqW1nPjHma4.sys []
S3 DTO67p6.syS;hMCEGu3;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\DTO67p6.syS []
S3 fcSULRmfjxPE.sys;YH267BqpG1E;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\fcSULRmfjxPE.sys []
S3 gk8OYgUU3HQr.sys;dQ7qUZL67DO;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\gk8OYgUU3HQr.sys []
S3 jCBJKbl.syS;69giR1W;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\jCBJKbl.syS []
S3 k2JuzRSb1yUJ.sys;wQcWxoDfJNT;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\k2JuzRSb1yUJ.sys []
S3 KVrAqf1.syS;cqz4Cwa;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\KVrAqf1.syS []
S3 lFAiPHTZmpr0.sys;wcAUqz6piWx;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\lFAiPHTZmpr0.sys []
S3 M0jXZq4.syS;MgkhAyT;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\M0jXZq4.syS []
S3 M6jQloP.syS;hRVn2dB;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\M6jQloP.syS []
S3 MrBVwdV.syS;YvFxjex;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\MrBVwdV.syS []
S3 nk7ZTkG.syS;UlNWcva;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\nk7ZTkG.syS []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 19:31]
S3 QbIsr2m.syS;FMCQFbG;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\QbIsr2m.syS []
S3 qBPHcqZZrSch.sys;a4MDi0FubCX;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\qBPHcqZZrSch.sys []
S3 Sh6HSHXGHJu9.sys;qhmPgxcOlJl;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\Sh6HSHXGHJu9.sys []
S3 THBBhSjq781V.sys;DQLlE9yxHSP;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\THBBhSjq781V.sys []
S3 u5p3nj1.syS;1EFEVJt;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\u5p3nj1.syS []
S3 uAKhlA1mBlD5.sys;QRAneYPwMoJ;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\uAKhlA1mBlD5.sys []
S3 UrIXaRQ.syS;X5m03Zx;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\UrIXaRQ.syS []
S3 Vly4TaY.syS;eeNX9QT;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\Vly4TaY.syS []
S3 XoRim0c.syS;ugkbgle;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\XoRim0c.syS []
S3 yeL6c8D.syS;Ln02Od1;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\yeL6c8D.syS []
S3 YeyID8U.syS;WDDkdMs;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\YeyID8U.syS []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 17:22]

2008-08-05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

MSConfigStartUp-WinVNC - C:\Programme\UltraVNC\winvnc.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\h2jlz9eo.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.msn.com
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 12:47:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-25 13:00:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-25 11:00:22

Pre-Run: 19 Verzeichnis(se), 179,048,747,008 Bytes frei
Post-Run: 27 Verzeichnis(se), 178,929,401,856 Bytes frei

270 --- E O F --- 2008-08-19 13:13:55
Hier noch das Quarantäne-Textdokument:

Zitat

1995-12-22 12:16:06 432 C:\Qoobox\Quarantine\C\WINDOWS\system32\CFX32.LIC.vir
1996-06-10 16:24:26 307,200 C:\Qoobox\Quarantine\C\WINDOWS\system32\CFX32.OCX.vir
2008-04-08 10:12:50 12 C:\Qoobox\Quarantine\C\z.txt.vir
2008-08-25 10:42:54 8,951 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-08-25 10:43:22 54 C:\Qoobox\Quarantine\catchme.log
2008-08-25 10:59:52 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-08-25 10:59:52 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-08-25 10:59:52 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-08-25 11:00:04 602 C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-WinVNC.reg.dat
(Ich weiß nicht, ob ihr das auch benötigt ^^)



Danke schon mal soweit für die Hilfe ;')
Seitenanfang Seitenende
26.08.2008, 00:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Driver::
2h5FozI1i7BX.sys
7Q0ZheGECSb
b2oL3KwaFPT
2XZp3eo915if.sys
mLGbITKjv73
8oGjrCnu4SAu.sys
DJi7rONKPcjP.sys
DTO67p6.syS
jCBJKbl.syS
k2JuzRSb1yUJ.sys
lFAiPHTZmpr0.sys
M6jQloP.syS
MrBVwdV.syS
QbIsr2m.syS
Sh6HSHXGHJu9.sys
THBBhSjq781V.sys
uAKhlA1mBlD5.sys
Vly4TaY.syS
yeL6c8D.syS
YeyID8U.syS

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

in C:\ComboFix.txt ist alles gespeichert, kopiere es ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.08.2008, 17:38
Member

Themenstarter

Beiträge: 11
#7 So hier nun der neue Log:

Zitat

ComboFix 08-08-26.03 - HP_Besitzer 2008-08-27 17:12:44.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.657 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_2H5FOZI1I7BX.SYS
-------\Legacy_2XZP3EO915IF.SYS
-------\Legacy_8OGJRCNU4SAU.SYS
-------\Legacy_DJI7RONKPCJP.SYS
-------\Legacy_DTO67P6.SYS
-------\Legacy_JCBJKBL.SYS
-------\Legacy_K2JUZRSB1YUJ.SYS
-------\Legacy_LFAIPHTZMPR0.SYS
-------\Legacy_M6JQLOP.SYS
-------\Legacy_MRBVWDV.SYS
-------\Legacy_QBISR2M.SYS
-------\Legacy_SH6HSHXGHJU9.SYS
-------\Legacy_THBBHSJQ781V.SYS
-------\Legacy_UAKHLA1MBLD5.SYS
-------\Legacy_VLY4TAY.SYS
-------\Legacy_YEL6C8D.SYS
-------\Legacy_YEYID8U.SYS
-------\Service_2h5FozI1i7BX.sys
-------\Service_2XZp3eo915if.sys
-------\Service_8oGjrCnu4SAu.sys
-------\Service_DJi7rONKPcjP.sys
-------\Service_DTO67p6.syS
-------\Service_jCBJKbl.syS
-------\Service_k2JuzRSb1yUJ.sys
-------\Service_lFAiPHTZmpr0.sys
-------\Service_M6jQloP.syS
-------\Service_MrBVwdV.syS
-------\Service_QbIsr2m.syS
-------\Service_Sh6HSHXGHJu9.sys
-------\Service_THBBhSjq781V.sys
-------\Service_uAKhlA1mBlD5.sys
-------\Service_Vly4TaY.syS
-------\Service_yeL6c8D.syS
-------\Service_YeyID8U.syS


((((((((((((((((((((((( Dateien erstellt von 2008-07-27 bis 2008-08-27 ))))))))))))))))))))))))))))))
.

2008-08-25 16:01 . 2008-08-25 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Wireshark
2008-08-25 15:41 . 2008-08-25 15:43 <DIR> d-------- C:\Programme\Wireshark
2008-08-24 15:19 . 2008-08-24 17:54 <DIR> d-------- C:\Programme\a-squared Free
2008-08-23 16:21 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 18:41 . 2008-08-18 18:41 220 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-18 18:40 . 2008-08-18 18:41 <DIR> d-------- C:\35582a36c32ff61183a531825102
2008-08-02 10:53 . 2008-08-07 12:13 <DIR> d-------- C:\Programme\Notepad++
2008-08-02 10:53 . 2008-08-02 10:54 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Notepad++
2008-07-31 02:19 . 2008-07-31 02:19 663,552 --a------ C:\WINDOWS\system32\icardres.dll.mui
2008-07-29 20:35 . 2008-07-29 20:35 326,160 --a------ C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 19:59 . 2008-07-29 19:59 781,344 --a------ C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 105,016 --a------ C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 43,544 --a------ C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 19:24 . 2008-07-29 19:24 622,080 --a------ C:\WINDOWS\system32\icardagt.exe
2008-07-29 19:24 . 2008-07-29 19:24 97,800 --a------ C:\WINDOWS\system32\infocardapi.dll
2008-07-29 19:24 . 2008-07-29 19:24 37,384 --a------ C:\WINDOWS\system32\infocardcpl.cpl
2008-07-29 19:24 . 2008-07-29 19:24 11,264 --a------ C:\WINDOWS\system32\icardres.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 15:20 5,551,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-27 15:20 44,452 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-27 15:20 4,832 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-27 15:20 1,097,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-27 14:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-26 17:21 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-26 17:02 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FileZilla
2008-08-25 13:42 --------- d-----w C:\Programme\WinPcap
2008-08-25 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-24 09:13 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-08-23 14:20 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Desktopicon
2008-08-19 13:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-18 16:53 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-18 16:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-18 16:49 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 16:07 --------- d-----w C:\Programme\FileZilla FTP Client
2008-08-06 16:58 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-02 09:05 --------- d-----w C:\Programme\PHP Designer 2007 - Professional
2008-07-28 14:29 --------- d-----w C:\Programme\DivX
2008-07-25 17:49 --------- d-----w C:\Programme\Opera
2008-07-25 16:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\TeamViewer
2008-07-25 12:50 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Media Player Classic
2008-07-25 12:50 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\DivX
2008-07-25 12:23 --------- d-----w C:\Programme\QuickTime
2008-07-25 12:23 --------- d-----w C:\Programme\Apple Software Update
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-25 09:32 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-22 11:42 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-07-19 09:44 --------- d-----w C:\Programme\Electronic Arts
2008-07-16 11:22 --------- d-----w C:\Programme\EA Sports
2008-07-16 09:39 --------- d-----w C:\Programme\FileZilla-3.0.10
2008-04-08 16:55 67,256 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-08 13:57 42,358 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\x.exe
2007-02-19 11:34 1 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\SI.bin
2005-12-25 11:23 0 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe

2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\dllcache\wuauclt.exe
.
((((((((((((((((((((((((((((( snapshot@2008-08-25_12.59.52.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-01-25 17:31:34 42,000 ----a-w C:\WINDOWS\system32\drivers\npf.sys
+ 2007-11-06 20:22:06 34,064 ----a-w C:\WINDOWS\system32\drivers\npf.sys
- 2007-01-25 17:31:34 88,952 ----a-w C:\WINDOWS\system32\Packet.dll
+ 2007-11-06 20:22:20 88,696 ----a-w C:\WINDOWS\system32\Packet.dll
- 2007-01-25 17:31:36 53,299 ----a-w C:\WINDOWS\system32\pthreadVC.dll
+ 2007-11-06 20:19:28 53,299 ----a-w C:\WINDOWS\system32\pthreadVC.dll
- 2007-01-25 17:31:34 68,480 ----a-w C:\WINDOWS\system32\WanPacket.dll
+ 2007-11-06 20:22:30 68,224 ----a-w C:\WINDOWS\system32\WanPacket.dll
- 2007-01-25 17:31:36 240,496 ----a-w C:\WINDOWS\system32\wpcap.dll
+ 2007-11-06 20:23:18 240,248 ----a-w C:\WINDOWS\system32\wpcap.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 18:04 52736]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-05 21:26 5566464]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35 49152]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 22:43 233472]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
"nwiz"="nwiz.exe" [2005-03-05 21:26 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a------ 2007-08-30 14:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2008-03-01 07:10 15872 C:\Programme\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)
"winvnc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AAWTray"=C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
"Reminder"="C:\Windows\Creator\Remind_XP.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
"KBD"=C:\HP\KBD\KBD.EXE
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-04-08 20:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 2MMqG2qetihR.sys;b2oL3KwaFPT;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\2MMqG2qetihR.sys []
S3 59xbNI6.syS;gXsDzk7;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\59xbNI6.syS []
S3 a9PjoAQfCvkc.sys;XCP0MEnCNBA;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\a9PjoAQfCvkc.sys []
S3 Ae3VE3r.syS;Pvdc56W;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\Ae3VE3r.syS []
S3 DfqkUfP3zDMY.sys;3CCVnQ8gg1w;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\DfqkUfP3zDMY.sys []
S3 doqW1nPjHma4.sys;pXftFGMOhE8;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\doqW1nPjHma4.sys []
S3 fcSULRmfjxPE.sys;YH267BqpG1E;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\fcSULRmfjxPE.sys []
S3 gk8OYgUU3HQr.sys;dQ7qUZL67DO;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\gk8OYgUU3HQr.sys []
S3 KVrAqf1.syS;cqz4Cwa;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\KVrAqf1.syS []
S3 M0jXZq4.syS;MgkhAyT;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\M0jXZq4.syS []
S3 nk7ZTkG.syS;UlNWcva;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\nk7ZTkG.syS []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 qBPHcqZZrSch.sys;a4MDi0FubCX;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\qBPHcqZZrSch.sys []
S3 u5p3nj1.syS;1EFEVJt;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\u5p3nj1.syS []
S3 UrIXaRQ.syS;X5m03Zx;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\UrIXaRQ.syS []
S3 XoRim0c.syS;ugkbgle;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\XoRim0c.syS []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 17:22]

2008-08-05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 17:21:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-27 17:34:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-27 15:34:39
ComboFix2.txt 2008-08-25 11:00:26

Pre-Run: 19 Verzeichnis(se), 178,796,285,952 Bytes frei
Post-Run: 27 Verzeichnis(se), 178,777,251,840 Bytes frei

280 --- E O F --- 2008-08-19 13:13:55
PS: Danke für die ganze Hilfe ;)
Seitenanfang Seitenende
27.08.2008, 23:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 «
erstelle eine neue cfscript.txt, dann wieder auf Combofix ziehen + poste dann das neue Log von Combofix

Zitat

Driver::
2MMqG2qetihR.sys
a9PjoAQfCvkc.sys
Ae3VE3r.syS
doqW1nPjHma4.sys
fcSULRmfjxPE.sys
gk8OYgUU3HQr.sys
KVrAqf1.syS
M0jXZq4.syS
nk7ZTkG.syS
qBPHcqZZrSch.sys
u5p3nj1.syS
UrIXaRQ.syS
XoRim0c.syS
«««
lade ServiceFilter.zip von dieser seite:
http://virus-protect.org/virenservice.html
ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2008, 14:19
Member

Themenstarter

Beiträge: 11
#9 Hier der ServiceFilter-Log:

Zitat

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Aug 28, 2008 14:16:46


---> Begin Service Listing <---

Unknown Service # 1
Service Name: a2free
Display Name: a-squared Free Service
Start Mode: Auto
Start Name: LocalSystem
Description: Scans the PC for unwanted software and provides protection from malicious ...
Service Type: Own Process
Path: "c:\programme\a-squared free\a2service.exe"
State: Running
Process ID: 800
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: aawservice
Display Name: Ad-Aware 2007 Service
Start Mode: Disabled
Start Name: LocalSystem
Description: Protects your computer from ...
Service Type: Own Process
Path: "c:\programme\lavasoft\ad-aware 2007\aawservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #3
Service Name: aspnet_state
Display Name: ASP.NET-Zustandsdienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Stellt die Unterstützung für nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: AVP
Display Name: Kaspersky Internet Security
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet dem Computer Schutz vor Viren, gefährlicher Software, Hackerangriffen, Internetbetrug und ...
Service Type: Own Process
Path: "c:\programme\kaspersky lab\kaspersky internet security 2009\avp.exe" -r
State: Running
Process ID: 836
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: FontCache3.0.0.0
Display Name: Windows Presentation Foundation Font Cache 3.0.0.0
Start Mode: Manual
Start Name: NT AUTHORITY\LocalService
Description: Optimizes performance of Windows Presentation Foundation (WPF) applications by caching commonly ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: idsvc
Display Name: Windows CardSpace
Start Mode: Manual
Start Name: LocalSystem
Description: Securely enables the creation, management, and disclosure of digital ...
Service Type: Share Process
Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #9
Service Name: iPodService
Display Name: iPod Service
Start Mode: Manual
Start Name: LocalSystem
Description: iPod ...
Service Type: Own Process
Path: c:\programme\ipod\bin\ipodservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: MSSQL$SQLEXPRESS
Display Name: SQL Server (SQLEXPRESS)
Start Mode: Auto
Start Name: NT AUTHORITY\NetworkService
Description: Ermöglicht die Speicherung, Verarbeitung und den kontrollierten Zugriff auf Daten sowie eine ...
Service Type: Own Process
Path: "c:\programme\microsoft sql server\mssql.1\mssql\binn\sqlservr.exe" -ssqlexpress
State: Running
Process ID: 1060
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 11
Service Name: MSSQLServerADHelper
Display Name: Hilfsdienst von SQL Server für Active Directory
Start Mode: Disabled
Start Name: NT AUTHORITY\NetworkService
Description: Ermöglicht die Integration mit Active ...
Service Type: Own Process
Path: "c:\programme\microsoft sql server\90\shared\sqladhlp90.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 12
Service Name: NetTcpPortSharing
Display Name: Net.Tcp Port Sharing Service
Start Mode: Disabled
Start Name: NT AUTHORITY\LocalService
Description: Provides ability to share TCP ports over the net.tcp ...
Service Type: Share Process
Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #13
Service Name: rpcapd
Display Name: Remote Packet Capture Protocol v.0 (experimental)
Start Mode: Manual
Start Name: LocalSystem
Description: Allows to capture traffic on this machine from a remote ...
Service Type: Own Process
Path: "c:\programme\winpcap\rpcapd.exe" -d -f "c:\programme\winpcap\rpcapd.ini"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 14
Service Name: SQLBrowser
Display Name: SQL Server-Browser
Start Mode: Auto
Start Name: NT AUTHORITY\NetworkService
Description: Stellt Clientcomputern SQL Server-Verbindungsinformationen ...
Service Type: Own Process
Path: "c:\programme\microsoft sql server\90\shared\sqlbrowser.exe"
State: Running
Process ID: 1748
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 15
Service Name: SQLWriter
Display Name: SQL Server VSS Writer
Start Mode: Auto
Start Name: LocalSystem
Description: Stellt die Schnittstelle zum Sichern oder Wiederherstellen von Microsoft SQL Server über die ...
Service Type: Own Process
Path: "c:\programme\microsoft sql server\90\shared\sqlwriter.exe"
State: Running
Process ID: 304
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #16
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{49ecc87e-722f-4cfd-adda-0bc30d854b7d}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 17
Service Name: usnjsvc
Display Name: Messenger USN Journal Reader-Service für freigegebene Ordner
Start Mode: Manual
Start Name: LocalSystem
Description: Ein von Messenger installierter Service, der Freigabeszenarien ...
Service Type: Own Process
Path: "c:\programme\windows live\messenger\usnsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 18
Service Name: UxTuneUp
Display Name: TuneUp Designerweiterung
Start Mode: Auto
Start Name: LocalSystem
Description: Ermöglicht die Verwendung von Designs ohne Microsoft Visual Style ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k netsvcs
State: Running
Process ID: 1420
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 19
Service Name: WLSetupSvc
Display Name: Windows Live Setup Service
Start Mode: Manual
Start Name: LocalSystem
Description: Windows Live Setup ...
Service Type: Own Process
Path: "c:\programme\windows live\installer\wlsetupsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 20
Service Name: WMPNetworkSvc
Display Name: Windows Media Player-Netzwerkfreigabedienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players ...
Service Type: Own Process
Path: "c:\programme\windows media player\wmpnetwk.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 21
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 98 Win32 services on this machine.
21 were unrecognized.

Script Execution Time: 0,609375 seconds.
Hier die neue Comboxfix-Auswertung:

Zitat

ComboFix 08-08-27.05 - HP_Besitzer 2008-08-28 13:53:03.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.655 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_2MMQG2QETIHR.SYS
-------\Legacy_A9PJOAQFCVKC.SYS
-------\Legacy_AE3VE3R.SYS
-------\Legacy_DOQW1NPJHMA4.SYS
-------\Legacy_FCSULRMFJXPE.SYS
-------\Legacy_GK8OYGUU3HQR.SYS
-------\Legacy_KVRAQF1.SYS
-------\Legacy_M0JXZQ4.SYS
-------\Legacy_NK7ZTKG.SYS
-------\Legacy_QBPHCQZZRSCH.SYS
-------\Legacy_U5P3NJ1.SYS
-------\Legacy_URIXARQ.SYS
-------\Legacy_XORIM0C.SYS
-------\Service_2MMqG2qetihR.sys
-------\Service_a9PjoAQfCvkc.sys
-------\Service_Ae3VE3r.syS
-------\Service_doqW1nPjHma4.sys
-------\Service_fcSULRmfjxPE.sys
-------\Service_gk8OYgUU3HQr.sys
-------\Service_KVrAqf1.syS
-------\Service_M0jXZq4.syS
-------\Service_nk7ZTkG.syS
-------\Service_qBPHcqZZrSch.sys
-------\Service_u5p3nj1.syS
-------\Service_UrIXaRQ.syS
-------\Service_XoRim0c.syS


((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-28 ))))))))))))))))))))))))))))))
.

2008-08-25 16:01 . 2008-08-25 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Wireshark
2008-08-25 15:41 . 2008-08-25 15:43 <DIR> d-------- C:\Programme\Wireshark
2008-08-24 15:19 . 2008-08-24 17:54 <DIR> d-------- C:\Programme\a-squared Free
2008-08-23 16:21 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 18:41 . 2008-08-18 18:41 220 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-18 18:40 . 2008-08-18 18:41 <DIR> d-------- C:\35582a36c32ff61183a531825102
2008-08-02 10:53 . 2008-08-07 12:13 <DIR> d-------- C:\Programme\Notepad++
2008-08-02 10:53 . 2008-08-02 10:54 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Notepad++
2008-07-31 02:19 . 2008-07-31 02:19 663,552 --a------ C:\WINDOWS\system32\icardres.dll.mui
2008-07-29 20:35 . 2008-07-29 20:35 326,160 --a------ C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 19:59 . 2008-07-29 19:59 781,344 --a------ C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 105,016 --a------ C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 43,544 --a------ C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 19:24 . 2008-07-29 19:24 622,080 --a------ C:\WINDOWS\system32\icardagt.exe
2008-07-29 19:24 . 2008-07-29 19:24 97,800 --a------ C:\WINDOWS\system32\infocardapi.dll
2008-07-29 19:24 . 2008-07-29 19:24 37,384 --a------ C:\WINDOWS\system32\infocardcpl.cpl
2008-07-29 19:24 . 2008-07-29 19:24 11,264 --a------ C:\WINDOWS\system32\icardres.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 11:59 5,551,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-28 11:59 44,452 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-28 11:59 4,832 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-28 11:59 1,097,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-28 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-27 17:57 67,256 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-08-26 17:21 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-26 17:02 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FileZilla
2008-08-25 13:42 --------- d-----w C:\Programme\WinPcap
2008-08-25 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-24 09:13 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-08-23 14:20 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Desktopicon
2008-08-19 13:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-18 16:53 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-18 16:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-18 16:49 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 16:07 --------- d-----w C:\Programme\FileZilla FTP Client
2008-08-06 16:58 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-02 09:05 --------- d-----w C:\Programme\PHP Designer 2007 - Professional
2008-07-28 14:29 --------- d-----w C:\Programme\DivX
2008-07-25 17:49 --------- d-----w C:\Programme\Opera
2008-07-25 16:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\TeamViewer
2008-07-25 12:50 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Media Player Classic
2008-07-25 12:50 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\DivX
2008-07-25 12:23 --------- d-----w C:\Programme\QuickTime
2008-07-25 12:23 --------- d-----w C:\Programme\Apple Software Update
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-25 09:32 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-22 11:42 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-07-19 09:44 --------- d-----w C:\Programme\Electronic Arts
2008-07-16 11:22 --------- d-----w C:\Programme\EA Sports
2008-07-16 09:39 --------- d-----w C:\Programme\FileZilla-3.0.10
2007-09-08 13:57 42,358 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\x.exe
2007-02-19 11:34 1 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\SI.bin
2005-12-25 11:23 0 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe

2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\dllcache\wuauclt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 18:04 52736]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-05 21:26 5566464]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35 49152]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 22:43 233472]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
"nwiz"="nwiz.exe" [2005-03-05 21:26 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a------ 2007-08-30 14:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2008-03-01 07:10 15872 C:\Programme\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)
"winvnc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AAWTray"=C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
"Reminder"="C:\Windows\Creator\Remind_XP.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
"KBD"=C:\HP\KBD\KBD.EXE
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-04-08 20:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 59xbNI6.syS;gXsDzk7;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\59xbNI6.syS []
S3 DfqkUfP3zDMY.sys;3CCVnQ8gg1w;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\DfqkUfP3zDMY.sys []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 17:22]

2008-08-05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 14:01:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 14:13:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-28 12:13:54
ComboFix2.txt 2008-08-27 15:34:43
ComboFix3.txt 2008-08-25 11:00:26

Pre-Run: 19 Verzeichnis(se), 178,750,914,560 Bytes frei
Post-Run: 27 Verzeichnis(se), 178,730,815,488 Bytes frei

245 --- E O F --- 2008-08-19 13:13:55
Danke nochmal ;)
Seitenanfang Seitenende
28.08.2008, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
erstelle ein neues script - dann wieder auf Combofix ziehen ;)

Zitat

Driver::
59xbNI6.syS
DfqkUfP3zDMY.sys
««
sdifx
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.08.2008, 16:42
Member

Themenstarter

Beiträge: 11
#11 Neuer Combofix-Log:

Zitat

ComboFix 08-08-27.05 - HP_Besitzer 2008-08-28 15:44:35.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.655 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-28 ))))))))))))))))))))))))))))))
.

2008-08-25 16:01 . 2008-08-25 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Wireshark
2008-08-25 15:41 . 2008-08-25 15:43 <DIR> d-------- C:\Programme\Wireshark
2008-08-24 15:19 . 2008-08-24 17:54 <DIR> d-------- C:\Programme\a-squared Free
2008-08-23 16:21 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 18:41 . 2008-08-18 18:41 220 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-18 18:40 . 2008-08-18 18:41 <DIR> d-------- C:\35582a36c32ff61183a531825102
2008-08-02 10:53 . 2008-08-07 12:13 <DIR> d-------- C:\Programme\Notepad++
2008-08-02 10:53 . 2008-08-02 10:54 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Notepad++
2008-07-31 02:19 . 2008-07-31 02:19 663,552 --a------ C:\WINDOWS\system32\icardres.dll.mui
2008-07-29 20:35 . 2008-07-29 20:35 326,160 --a------ C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 19:59 . 2008-07-29 19:59 781,344 --a------ C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 105,016 --a------ C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 19:59 . 2008-07-29 19:59 43,544 --a------ C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 19:24 . 2008-07-29 19:24 622,080 --a------ C:\WINDOWS\system32\icardagt.exe
2008-07-29 19:24 . 2008-07-29 19:24 97,800 --a------ C:\WINDOWS\system32\infocardapi.dll
2008-07-29 19:24 . 2008-07-29 19:24 37,384 --a------ C:\WINDOWS\system32\infocardcpl.cpl
2008-07-29 19:24 . 2008-07-29 19:24 11,264 --a------ C:\WINDOWS\system32\icardres.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 13:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-28 12:49 5,551,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-28 12:49 44,452 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-28 12:49 4,832 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-28 12:49 1,097,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-27 17:57 67,256 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-08-26 17:21 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-26 17:02 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FileZilla
2008-08-25 13:42 --------- d-----w C:\Programme\WinPcap
2008-08-25 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-24 09:13 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-08-23 14:20 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Desktopicon
2008-08-19 13:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-18 16:53 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-18 16:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-18 16:49 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 16:07 --------- d-----w C:\Programme\FileZilla FTP Client
2008-08-06 16:58 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-02 09:05 --------- d-----w C:\Programme\PHP Designer 2007 - Professional
2008-07-28 14:29 --------- d-----w C:\Programme\DivX
2008-07-25 17:49 --------- d-----w C:\Programme\Opera
2008-07-25 16:48 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\TeamViewer
2008-07-25 12:50 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Media Player Classic
2008-07-25 12:50 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\DivX
2008-07-25 12:23 --------- d-----w C:\Programme\QuickTime
2008-07-25 12:23 --------- d-----w C:\Programme\Apple Software Update
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-25 09:32 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-25 09:16 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2008-07-25 09:16 83,968 ----a-w C:\WINDOWS\system32\mscories.dll
2008-07-25 09:16 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2008-07-25 09:16 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
2008-07-22 11:42 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-07-19 09:44 --------- d-----w C:\Programme\Electronic Arts
2008-07-16 11:22 --------- d-----w C:\Programme\EA Sports
2008-07-16 09:39 --------- d-----w C:\Programme\FileZilla-3.0.10
2008-07-10 00:49 215,576 ----a-w C:\WINDOWS\system32\SqlServerSpatial.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 12:06 89,088 ----a-w C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2008-07-06 12:06 575,488 ----a-w C:\WINDOWS\system32\xpsshhdr.dll
2008-07-06 12:06 575,488 ----a-w C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2008-07-06 12:06 117,760 ----a-w C:\WINDOWS\system32\prntvpt.dll
2008-07-06 12:06 1,676,288 ----a-w C:\WINDOWS\system32\xpssvcs.dll
2008-07-06 12:06 1,676,288 ----a-w C:\WINDOWS\system32\dllcache\xpssvcs.dll
2008-07-06 10:50 597,504 ----a-w C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 18:36 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-09-08 13:57 42,358 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\x.exe
2007-02-19 11:34 1 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\SI.bin
2005-12-25 11:23 0 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\wklnhst.dat
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe

2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\dllcache\wuauclt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 13:35 536576 --a------ C:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 18:04 52736]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-05 21:26 5566464]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 08:35 49152]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 22:43 233472]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
"nwiz"="nwiz.exe" [2005-03-05 21:26 1495040 C:\WINDOWS\system32\nwiz.exe]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 07:23:26 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a------ 2007-08-30 14:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2008-03-01 07:10 15872 C:\Programme\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)
"winvnc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AAWTray"=C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
"Reminder"="C:\Windows\Creator\Remind_XP.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
"KBD"=C:\HP\KBD\KBD.EXE
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"TrojanScanner"=C:\Programme\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-04-08 20:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 59xbNI6.syS;gXsDzk7;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\59xbNI6.syS []
S3 DfqkUfP3zDMY.sys;3CCVnQ8gg1w;C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\DfqkUfP3zDMY.sys []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 17:22]

2008-08-05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 15:49:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 15:54:39
ComboFix-quarantined-files.txt 2008-08-28 13:54:36
ComboFix2.txt 2008-08-28 12:13:58
ComboFix3.txt 2008-08-27 15:34:43
ComboFix4.txt 2008-08-25 11:00:26

Pre-Run: 19 Verzeichnis(se), 178,706,362,368 Bytes frei
Post-Run: 27 Verzeichnis(se), 178,691,923,968 Bytes frei

243 --- E O F --- 2008-08-19 13:13:55
SDFix-Log:

Zitat

SDFix: Version 1.219
Run by HP_Besitzer on 28.08.2008 at 16:13

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 16:33:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe:*:Enabled:Installationsprogramm fr Kaspersky Internet Security 7.0"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe:*:Enabled:Installationsprogramm fr Kaspersky Internet Security 2009"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\iTunes\\iTunes.exe"="%ProgramFiles%\\iTunes\\iTunes.exe:*:enabled:iTunes"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Mon 17 Dec 2007 27,648 ..SH. --- "C:\WINDOWS\system32\Smab0.dll"
Sun 2 Apr 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"
Tue 8 Apr 2008 72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"
Tue 2 Oct 2007 16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"
Tue 8 Apr 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv03.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"
Thu 20 Mar 2008 5,632 ..SHR --- "C:\Programme\eRightSoft\SUPER\spk\1stRun.exe"
Thu 17 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b76443b8c3e363672b10791338cc85db\BIT4.tmp"

Finished!

Seitenanfang Seitenende
28.08.2008, 23:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 diesmal hast du die cfscript.txt nicht korrekt erstellt:
bitte noch mal

Zitat

Driver::
59xbNI6.syS
DfqkUfP3zDMY.sys

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.09.2008, 15:59
Member

Themenstarter

Beiträge: 11
#13 So, entschuldige bitte, dass ich mich nicht mehr gemeldet habe.
Ich musste eine Systemwiederherstellung durchführen, da mein PC aufgrund des Updates auf Service Pack 3 nicht mehr funktionierte...

Wie können wir nun fortfahren? Soll ich nochmal alle Scanns neu durchführen?
Oder bin ich durch die Systemwiederherstellung schon völlig clean!? Wohl eher nicht oder?
Seitenanfang Seitenende
03.09.2008, 17:16
Moderator

Beiträge: 5694
#14 Alienus

Nein vermutlich hast du wieder alles drauf.

Poste die Logs noch einmal.

Gruss Swiss
Seitenanfang Seitenende
04.09.2008, 18:46
Member

Themenstarter

Beiträge: 11
#15 a-squared Free-Log:

Zitat

a-squared Free - Version 3.5
Letztes Update: 04.09.2008 14:58:40

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\, D:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 04.09.2008 14:59:13

c:\dokumente und einstellungen\hp_besitzer\desktop\teamviewer.lnk gefunden: Trace.File.DynGate
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Downloads\bricopack-vista-inspirat-ultimate-2-crystalxp.net-en-130\pack-vista-inspirat-2-1.0.exe gefunden: Trojan.Win32.StartPage.bqk
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Downloads\bricopack-vista-inspirat-ultimate-2-crystalxp.net-en-130.zip/pack-vista-inspirat-2-1.0.exe gefunden: Trojan.Win32.StartPage.bqk
C:\Eigene Dateien-Backup\Downloads\bricopack-vista-inspirat-ultimate-2-crystalxp.net-en-130\pack-vista-inspirat-2-1.0.exe gefunden: Trojan.Win32.StartPage.bqk
C:\Eigene Dateien-Backup\Downloads\bricopack-vista-inspirat-ultimate-2-crystalxp.net-en-130.zip/pack-vista-inspirat-2-1.0.exe gefunden: Trojan.Win32.StartPage.bqk
C:\hp\bin\KillWind.exe gefunden: Riskware.RiskTool.Win32.PsKill.p
C:\SDFix\apps\Process.exe gefunden: Riskware.RiskTool.Win32.Processor.20
C:\USERDATA\Eigene Dateien\Gedownloadetes\Downloads\Executables\SDFix.exe/Process.exe gefunden: Riskware.RiskTool.Win32.Processor.20
C:\USERDATA\Eigene Dateien\Gedownloadetes\Downloads\RARs\pack-vista-inspirat-2-1.0.zip/pack-vista-inspirat-2-1.0.exe gefunden: Trojan.Win32.StartPage.bqk
C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\uninstall.exe gefunden: Trojan.Win32.StartPage.bqk
C:\WINDOWS\BricoPacks\Vista Inspirat 2\Remove.exe gefunden: Trojan.Win32.StartPage.bqk
C:\WINDOWS\BricoPacks\Vista Inspirat 2\Update.exe gefunden: Trojan.Win32.StartPage.bqk

Gescannt

Dateien: 527312
Traces: 428698
Cookies: 4
Prozesse: 22

Gefunden

Dateien: 11
Traces: 1
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 04.09.2008 18:04:21
Scan Zeit: 3:05:08
Sind die gefundenen Dateien wirklich Malware?
Teamviewer schojn mal nicht oder?
Dann noch "Bricopack Vista Inspirat". Das ist ein Programm, was den kompletten PC wie Vista aussehen lässt. Wird es nur als Malware erkannt, weil bei der Installation (etc.) System-Dateien ausgetauscht/verändert werden oder ist es wirklich gefährlich? oO
SDFix ist ja auch keine Malware, nur ein anderer Scanner.
Bei der "KillWind.exe" bin ich mir allerdings nicht sicher.

Naja, hier noch der Combofix-Log:

Zitat

ComboFix 08-09-03.06 - HP_Besitzer 2008-09-04 18:27:21.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Downloads\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-04 bis 2008-09-04 ))))))))))))))))))))))))))))))
.

2008-09-04 14:57 . 2008-09-04 18:04 <DIR> d-------- C:\Programme\a-squared Free
2008-09-04 14:32 . 2008-09-04 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Security Task Manager
2008-09-04 14:32 . 2004-08-04 20:00 733,696 --a------ C:\WINDOWS\system32\_enviewlist.dll
2008-09-04 14:32 . 2004-08-04 14:00 677,888 --a------ C:\WINDOWS\system32\_entreelist.dll
2008-09-04 14:31 . 2008-09-04 14:31 <DIR> d-------- C:\Programme\Network Security Taskmanager
2008-09-04 14:02 . 2008-09-04 14:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\SecuROM
2008-09-04 14:02 . 2008-09-04 14:02 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-09-03 22:12 . 2008-09-03 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Simply Super Software
2008-09-03 22:11 . 2008-09-03 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\TeamViewer
2008-09-03 22:11 . 2008-09-03 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\teamspeak2
2008-09-03 22:05 . 2008-09-03 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\ICQ
2008-09-03 22:02 . 2008-09-03 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\PHP Designer 2007
2008-09-03 22:01 . 2008-09-03 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Wireshark
2008-09-03 16:52 . 2008-09-03 16:52 <DIR> d-------- C:\Programme\MP3SPLITTER
2008-09-02 19:01 . 2008-09-02 19:04 <DIR> d-------- C:\Eigene Dateien-Backup
2008-09-02 18:51 . 2008-09-02 18:59 <DIR> d-------- C:\Programme\Security Task Manager
2008-09-02 18:51 . 2008-09-04 14:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-02 16:40 . 2008-09-02 16:40 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-09-02 16:40 . 2008-09-02 16:41 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-09-01 17:28 . 2004-11-25 07:07 79,679 --a------ C:\WINDOWS\system32\E_FLMACE.DLL
2008-09-01 17:28 . 2003-05-21 04:27 64,000 --a------ C:\WINDOWS\system32\E_FBCBACE.DLL
2008-09-01 17:28 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-09-01 17:28 . 2000-06-07 03:01 34,304 --a------ C:\WINDOWS\system32\E_FBCHACE.DLL
2008-09-01 17:27 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-01 17:27 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-09-01 17:26 . 2005-02-25 00:00 46,080 --a------ C:\WINDOWS\system32\escimgd.dll
2008-09-01 17:26 . 2005-02-25 00:00 29,696 --a------ C:\WINDOWS\system32\escwiad.dll
2008-09-01 17:26 . 2005-02-25 00:00 22,016 --a------ C:\WINDOWS\system32\esccmd.dll
2008-09-01 17:26 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-01 17:26 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-01 15:42 . 2008-09-01 15:42 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-09-01 15:42 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-09-01 15:39 . 2008-09-01 15:42 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-09-01 15:39 . 2008-09-01 15:39 <DIR> d-------- C:\6ca95b966cfaee957fc6fb37d1
2008-09-01 15:39 . 2008-07-06 14:06 1,676,288 --------- C:\WINDOWS\system32\xpssvcs.dll
2008-09-01 15:39 . 2008-07-06 14:06 1,676,288 --------- C:\WINDOWS\system32\dllcache\xpssvcs.dll
2008-09-01 15:39 . 2008-07-06 12:50 597,504 --------- C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2008-09-01 15:39 . 2008-07-06 14:06 575,488 --------- C:\WINDOWS\system32\xpsshhdr.dll
2008-09-01 15:39 . 2008-07-06 14:06 575,488 --------- C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2008-09-01 15:39 . 2008-07-06 14:06 117,760 --------- C:\WINDOWS\system32\prntvpt.dll
2008-09-01 15:39 . 2008-07-06 14:06 89,088 --------- C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2008-09-01 14:34 . 2008-09-01 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Notepad++
2008-09-01 14:12 . 2008-09-01 14:12 <DIR> d-------- C:\Programme\FaJo
2008-09-01 14:01 . 2008-09-01 14:01 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\HPQ
2008-08-31 20:27 . 2008-09-04 18:30 6,608,928 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-31 20:27 . 2008-09-04 18:30 860,192 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-31 20:27 . 2008-08-31 20:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-08-31 20:27 . 2008-08-31 20:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-08-31 20:27 . 2008-09-04 18:30 52,712 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-31 20:27 . 2008-09-04 18:30 4,020 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-31 17:43 . 2008-08-31 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Contacts
2008-08-31 17:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-08-31 17:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-31 17:05 . 2008-08-31 17:05 268 --ah----- C:\sqmdata10.sqm
2008-08-31 17:05 . 2008-08-31 17:05 244 --ah----- C:\sqmnoopt10.sqm
2008-08-31 16:58 . 2008-07-18 22:10 45,768 --a------ C:\WINDOWS\system32\wups2.dll
2008-08-31 16:58 . 2008-07-18 22:10 33,992 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-08-31 16:58 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-08-31 16:58 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-08-31 16:58 . 2008-07-18 22:08 21,192 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-08-31 16:57 . 2008-08-31 16:57 <DIR> d---s---- C:\Dokumente und Einstellungen\HP_Besitzer\UserData
2008-08-31 16:52 . 2008-08-31 16:52 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-08-31 16:39 . 2008-08-31 16:40 330 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-08-31 14:44 . 2008-08-31 14:44 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2008-08-31 14:44 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2008-08-31 12:00 . 2008-09-03 16:15 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-08-31 12:00 . 2008-08-31 12:00 361,728 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-31 12:00 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-31 11:58 . 2008-09-02 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FileZilla
2008-08-31 11:38 . 2008-08-31 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\vlc
2008-08-30 22:08 . 2008-09-03 14:15 <DIR> dr-hs---- C:\WINDOWS\system32\dllcache
2008-08-30 22:08 . 2008-08-30 22:15 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmen
2008-08-30 22:08 . 2008-09-04 18:29 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-08-30 22:08 . 2008-08-30 22:15 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten
2008-08-30 18:12 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-30 15:45 . 2005-01-02 02:47 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\WINDOWS
2008-08-30 15:45 . 2008-08-30 22:17 <DIR> d--h----- C:\Dokumente und Einstellungen\HP_Besitzer\Vorlagen
2008-08-30 15:45 . 2008-08-30 22:15 <DIR> dr------- C:\Dokumente und Einstellungen\HP_Besitzer\Startmen
2008-08-30 15:45 . 2004-11-23 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\HP_Besitzer\Netzwerkumgebung
2008-08-30 15:45 . 2004-11-23 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen
2008-08-30 15:45 . 2008-08-30 14:47 <DIR> dr------- C:\Dokumente und Einstellungen\HP_Besitzer\Favoriten
2008-08-30 15:45 . 2008-09-04 14:57 <DIR> dr------- C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien
2008-08-30 15:45 . 2004-11-23 21:43 <DIR> d--h----- C:\Dokumente und Einstellungen\HP_Besitzer\Druckumgebung
2008-08-30 15:45 . 2008-08-30 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Symantec
2008-08-30 15:45 . 2005-01-02 02:50 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\SampleView
2008-08-30 15:45 . 2005-01-02 02:47 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Apple Computer
2008-08-30 15:45 . 2008-09-04 14:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten
2008-08-30 15:45 . 2008-09-04 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer
2008-08-30 15:44 . 2005-01-02 02:47 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\WINDOWS
2008-08-30 15:44 . 2008-08-30 22:15 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Eigene Dateien
2008-08-30 14:48 . 2008-08-30 14:48 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\TuneUp Software
2008-08-30 14:47 . 2004-08-04 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-30 14:47 . 2008-08-30 14:47 1,824 -rahs---- C:\WINDOWS\system32\drivers\103C_HP_CPC_EJ271AA-ABD t3257.de_YC_0Pavi_QCZB541_E54DEheBLU1_48_IAMETHYST-M_SMSI_V1.0_B3.33_T050817_WXH2_L407_M1023_J250_7AMD_8Athlon 64_92.19_#051224_N10EC8139_Z_G10DE0141_OLITE-ON DVDRW SHW-1635S_DMED87C0.MRK
2008-08-29 16:04 . 2008-08-29 16:04 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-08-29 15:54 . 2004-08-04 00:58 32,866 --------- C:\WINDOWS\slrundll.exe
2008-08-29 15:52 . 2008-08-29 15:52 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-29 15:52 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-08-29 15:30 . 2008-04-14 07:52 1,036,800 --a------ C:\WINDOWS\SET651.tmp
2008-08-29 15:27 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002950_.tmp
2008-08-29 15:20 . 2008-08-29 15:20 <DIR> d-------- C:\012971d38e8367926730
2008-08-28 20:00 . 2008-08-29 15:34 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-28 19:39 . 2008-08-29 15:51 <DIR> d-------- C:\WINDOWS\EHome
2008-08-28 18:57 . 2008-08-28 18:58 <DIR> d-------- C:\WINDOWS\868D789699D44513BC622B3AD3E24926.TMP
2008-08-28 16:04 . 2008-08-28 16:05 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-28 15:58 . 2008-08-28 16:39 <DIR> d-------- C:\SDFix
2008-08-25 15:41 . 2008-08-25 15:43 <DIR> d-------- C:\Programme\Wireshark
2008-08-18 18:40 . 2008-08-18 18:41 <DIR> d-------- C:\35582a36c32ff61183a531825102

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:13 --------- d-----w C:\Programme\EA Sports
2008-09-04 11:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-03 20:12 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-03 20:11 --------- d-----w C:\Programme\TeamViewer3
2008-09-03 20:10 --------- d-----w C:\Programme\Reflector
2008-09-03 20:10 --------- d-----w C:\Programme\No23 Recorder
2008-09-03 20:03 --------- d-----w C:\Programme\CCleaner
2008-09-03 20:02 --------- d-----w C:\Programme\PHP Designer 2007 - Professional
2008-09-03 15:02 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2008-09-02 14:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-01 13:45 --------- d-----w C:\Programme\Microsoft Visual Studio 9.0
2008-09-01 12:34 --------- d-----w C:\Programme\Notepad++
2008-08-31 16:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-08-31 15:52 --------- d-----w C:\Programme\WinPcap
2008-08-31 15:50 --------- d-----w C:\Programme\MSN Messenger
2008-08-31 15:50 --------- d-----w C:\Programme\Messenger Plus! Live
2008-08-31 14:40 72,108 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-08-31 12:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-31 10:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-31 09:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-30 20:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-08-30 16:12 --------- d-----w C:\Programme\Java
2008-08-30 12:47 --------- d-----w C:\Programme\Easy Internet signup
2008-08-29 14:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-26 17:21 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-19 13:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-18 16:53 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-14 16:07 --------- d-----w C:\Programme\FileZilla FTP Client
2008-07-29 18:20 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-07-28 14:29 --------- d-----w C:\Programme\DivX
2008-07-25 17:49 --------- d-----w C:\Programme\Opera
2008-07-25 12:23 --------- d-----w C:\Programme\Apple Software Update
2008-07-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-22 11:42 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-07-21 16:34 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-07-19 09:44 --------- d-----w C:\Programme\Electronic Arts
2008-07-16 09:39 --------- d-----w C:\Programme\FileZilla-3.0.10
.

------- Sigcheck -------

2004-08-04 14:00 977920 255895ec24d86fe41116c82b3a63b99b C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2004-08-04 14:00 977920 255895ec24d86fe41116c82b3a63b99b C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\SoftwareDistribution\Download\e94b50580b3d9c69a3c27b7653239432\sp2gdr\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-05 5566464]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPwuSchd2.exe" [2005-05-12 49152]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 206088]
"nwiz"="nwiz.exe" [2005-03-05 C:\WINDOWS\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
--a------ 2005-02-03 01:44 61440 C:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PS2]
--a------ 2004-10-26 00:17 90112 C:\WINDOWS\system32\ps2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--a------ 2004-12-14 02:23 663552 C:\WINDOWS\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2005-01-02 02:42 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"EPSON Stylus DX3800 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 42000]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-31 361728]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\i7dxmy97.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.msn.com
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NpFv415.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 18:31:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-04 18:36:57 - PC wurde neu gestartet [HP_Besitzer]
ComboFix-quarantined-files.txt 2008-09-04 16:36:52
ComboFix2.txt 2008-08-28 13:54:41
ComboFix3.txt 2008-08-28 12:13:58
ComboFix4.txt 2008-08-27 15:34:43
ComboFix5.txt 2008-09-04 16:24:23

Pre-Run: 24 Verzeichnis(se), 173,995,003,904 Bytes frei
Post-Run: 31 Verzeichnis(se), 173,966,278,656 Bytes frei

261 --- E O F --- 2008-09-03 12:16:03

Und ein Hijackthis-log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:15, on 04.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Programme\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220195202906
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4216 bytes
Seitenanfang Seitenende