Viren im System 32 =/ (Dringen!)

#1 Ich erzähle mal von Anfang an...

Ich benutze seit ca. 2 Jahren Avira AntiVir Personal und es lief eigentlich auch immer alles sauber. Vorgestern, meinte der Sicherheitsdienst "Der Compuetr ist eventuell gefährdet", habe ich drufgeklickt und es zeigte an das mein Virenprogramm inaktiv ist -> Dementsprechend bin ich auf "Empfehlungen" gegangen.

Das war leider fatal...er hat mir ein ganzes neues Virenprogramm draufgeladen...Der wollte gleich das ich Premium kauf usw. Abzock-Datei eben. Hab es über Software sofort gelöscht....aber es blieben Schäden übrig...z.B. hat sich mein Screenshot von alleine geändert (mit einem Bild des Viren-Programms) und egal was...späterstens beim Neustart war es wieder da...

Über Nacht lies ich meinen AntiVir laufen, der hat einiges gefunden, aber nicht alles...ich schrieb mir die Virus Datei raus und fragte Google...
Und siehe da, da hatte einer das gleiche Problem wie ich (http://www.modernboard.de/thread/77134/VBSAgent1002.html)
Ich bin vorgegangen wie in dem Thread und habe mir Malwarebytes gezogen (Was ein wahres wunder war, da mein PC mich gerade nichts mehr installieren lässt...also einer der vielen Folgen). Der hat einiges gefunden 40 infizierte Dateien/Programme/Verzeichnisse. Ein Kumpel meinte ich sollte alles löschen, was nicht im Window / System 32 Ordner ist...getan...ging wieder alles einigermaßen. Jedoch kommen manche Dateien nach einem Neustart wieder und wieder...Mein PC ging eben nicht einmal mehr richtig... (Nach neustart, blieb Bild hängen oder alles war schwarz). Also ist es wohl eine tickende Zeitbombe...

Mein Kumpel meinte auch das ich aus dem System 32 Ordner garnichts löschen darf, sonst ist der PC 100%ig weg...jedoch sind gleich 11 Dateien dort Betroffen...

Ja etwas schwer das Problem...aber ist dem PC noch irgendwie zu helfen =/ Oder Virus @System 32 = Ende ?
Das Screenshot Problem hat er allerdings gelöst.

Ich kann Malwarebytes mal nochma suchen lassen und dann genau sagen, welche Dateien betroffen sind...

Gruß BT

#2 Benutze CrapCleaner
http://virus-protect.org/CCleaner.html

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 K, thx ich werde das mal machen.

Hier schon mal die Auswertung von Malwarebytes (Die Dateien die angeblich erfolgreich gelöscht wurden, sind nach einem Neustart immer wieder da wie gesagt...):

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 104528
Laufzeit: 29 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\blphc75tj0eg49.scr (Trojan.FakeAlert) -> Not selected for removal.
C:\WINDOWS\system32\lphc75tj0eg49.exe (Trojan.FakeAlert) -> Not selected for removal.
C:\WINDOWS\system32\phc75tj0eg49.bmp (Trojan.FakeAlert) -> Not selected for removal.

#4 Wenn du noch nicht soweit bist,scanne erst mal dein Rechner mit:
SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus

#5

Zitat

Arnold postete
Wenn du noch nicht soweit bist,scanne erst mal dein Rechner mit:
SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y

Soweit so gut, danach folgte ein Fenster

Zitat

Starting repairs
Checkin running Processes and Services
grap: isq: no such file or directory

jo, ist nun schon etwas länger so, kommt da noch was oder habe ich was falsch gemacht?

btw. ComboFix geht garnicht, nachdem ich auf "Ausführen" geklickt habe, passierte nichts.

/edit: Habe zu lange nichts gedrückt -> Bildschirmschoner einsatz. Jetzt wo ich die Maus bewegt habe ist alles nurnoch schwarz, oben un unten steht eben noch abgesicherter Modus =/

#6 Mach mal ein Notstop und versuch es nochmal
__________
MfG Argus

#7 Auf dem Desktop steht zwar nichts, aber es hat sich was danach geöffnet:



Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\lphc75tj0eg49.exe - Deleted


Could Not Remove C:\WINDOWS\system32\drivers\tdssserv.sys
Could Not Remove C:\WINDOWS\system32\tdssadw.dll
Could Not Remove C:\WINDOWS\system32\tdssinit.dll
Could Not Remove C:\WINDOWS\system32\tdssl.dll
Could Not Remove C:\WINDOWS\system32\tdsslog.dll
Could Not Remove C:\WINDOWS\system32\tdssmain.dll
Could Not Remove C:\WINDOWS\system32\tdssservers.dat



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 11:03:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\tdssserv.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\tdssserv.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000b1
"TracesSuccessful"=dword:00000004
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

C:\WINDOWS\Temp\tdss6b43.tmp 24576 bytes
C:\WINDOWS\Temp\tdssd698.tmp 0 bytes
C:\WINDOWS\Temp\tdssd89b.tmp 0 bytes
C:\WINDOWS\Temp\tdssda12.tmp 0 bytes
C:\WINDOWS\system32\tdssadw.dll 32768 bytes executable
C:\WINDOWS\system32\tdssinit.dll 57727 bytes
C:\WINDOWS\system32\tdssl.dll 17920 bytes executable
C:\WINDOWS\system32\tdsslog.dll 11776 bytes executable
C:\WINDOWS\system32\tdssmain.dll 11264 bytes executable
C:\WINDOWS\system32\tdssserf.dll 12288 bytes executable
C:\WINDOWS\system32\tdssservers.dat 217 bytes
C:\WINDOWS\system32\drivers\tdssserv.sys 36864 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 12


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\Metin2_Germany\\metin2.bin"="C:\\Programme\\Metin2_Germany\\metin2.bin:*isabled:metin2"
"C:\\Dokumente und Einstellungen\\Dennis\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LHLF8UOL\\CabalTemp\\ESTdnheadless.exe"="C:\\Dokumente und Einstellungen\\Dennis\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LHLF8UOL\\CabalTemp\\ESTdnheadless.exe:*isabled:EST! download engine"
"C:\\Programme\\MessengerDiscovery\\Loader.exe"="C:\\Programme\\MessengerDiscovery\\Loader.exe:*:Enabled:Loader"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe"="C:\\Programme\\MAIET\\Gunz\\GunzLauncher.exe:*:Enabled:GunzLauncher"
"C:\\Programme\\MAIET\\Gunz\\Gunz.exe"="C:\\Programme\\MAIET\\Gunz\\Gunz.exe:*:Enabled:Gunz"
"C:\\Programme\\SopCast\\sopvod.exe"="C:\\Programme\\SopCast\\sopvod.exe:*isabled:sopvod"
"C:\\ijji\\ENGLISH\\u_gunz.exe"="C:\\ijji\\ENGLISH\\u_gunz.exe:*isabled:<ijji Downloader>"
"C:\\Programme\\euro gunz beta 6\\iplogeu.exe"="C:\\Programme\\euro gunz beta 6\\iplogeu.exe:*:Enabled:Gunz"
"C:\\Programme\\Mozilla Firefox 3 Beta 3\\firefox.exe"="C:\\Programme\\Mozilla Firefox 3 Beta 3\\firefox.exe:*isabled:Firefox"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*isabled:Bonjour"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*isabled:eMule"
"C:\\Programme\\euro gunz 7.1\\eurogz7.exe"="C:\\Programme\\euro gunz 7.1\\eurogz7.exe:*isabled:GunZProtect Licensed to EuroGunZ"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*isabled:ICQ Lite"
"C:\\Programme\\MessengerDiscovery\\MessengerDiscovery Live.exe"="C:\\Programme\\MessengerDiscovery\\MessengerDiscovery Live.exe:*isabled:MessengerDiscovery Live the Windows Live Messenger addon"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*isabled:SopCast Adver"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*isabled:SopCast Main Application"
"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"="C:\\Programme\\TVUPlayer\\TVUPlayer.exe:*isabled:TVUPlayer Component"
"C:\\Programme\\Xfire\\xfire.exe"="C:\\Programme\\Xfire\\xfire.exe:*isabled:Xfire"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

C:\WINDOWS\system32\drivers\tdssserv.sys Found
C:\WINDOWS\system32\tdssadw.dll Found
C:\WINDOWS\system32\tdssinit.dll Found
C:\WINDOWS\system32\tdssl.dll Found
C:\WINDOWS\system32\tdsslog.dll Found
C:\WINDOWS\system32\tdssmain.dll Found
C:\WINDOWS\system32\tdssservers.dat Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 17 Aug 2008 168 ..SHR --- "C:\WINDOWS\system32\DF01BB0E3B.sys"
Mon 25 Aug 2008 6,580 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 27 Feb 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 7 Dec 2007 792,188 ...H. --- "C:\Dokumente und Einstellungen\Dennis\Desktop\~WRL3177.tmp"
Fri 19 Jan 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 22 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\523d056929e13eacf8392044f602e53e\BITB.tmp"
Sat 19 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT2.tmp"
Tue 22 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\afa5528a2269b5106016bdbc1ea3037f\BITA.tmp"
Wed 6 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f1d01f188c8132c12d35c3222b7723a4\BIT2.tmp"
Wed 9 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT2.tmp"
Fri 26 Jan 2007 131,072 A.SH. --- "C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Eigene Bilder\Muttl\108_0502\SIVEE.tmp"

Finished!

----

Wundert mich dass ich viele Programme in dem Text sehe, wo ich längst deinstalliert habe.

#8 Poste mal ein Log von Hijack This

datfindbat
Download datFindbat zum Desktop

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere den Inhalt bis auf 3 Monate im Thread

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in Windows\System32\ , Downloaded Program Files\ , Windows\ und C:\ und den temporären Dateien befindet.
__________
MfG Argus

#9 HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:27:13, on 26.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox 3 Beta 3\firefox.exe
C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Solid State Networks IE Browser Plugin - {BD08A9D5-0E5C-4f42-99A3-C0CB5E860557} - C:\WINDOWS\system32\SolidStateNetworks\SolidStateION\solidax.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_2008_e-version\TrayServer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Jing] C:\Programme\TechSmith\Jing\Jing.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.flatcast.info/objects/NpFv412.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.info/objects/NpFp415.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://www.playwhat.com/solidPlugin/solidstateion.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://www.flatcast.info/objects/NpFv41629.dll
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http://www.flatcast.info/objects/NpFp412.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8494 bytes


---


Datfind:


Verzeichnis von C:\WINDOWS\system32

25.08.2008 19:31 118.784 blphc75tj0eg49.scr
25.08.2008 19:31 625.208 phc75tj0eg49.bmp
25.08.2008 18:15 6.580 KGyGaAvL.sys
21.08.2008 06:28 6.944 jupdate-1.6.0_07-b06.log
17.08.2008 08:24 168 DF01BB0E3B.sys
14.08.2008 03:03 736.758 TZLog.log
09.08.2008 21:23 1.472.664 FNTCACHE.DAT
05.08.2008 11:11 15.888.504 MRT.exe
21.07.2008 08:02 427.592 perfh009.dat
21.07.2008 08:02 442.770 perfh007.dat
21.07.2008 08:02 66.376 perfc009.dat
21.07.2008 08:02 78.360 perfc007.dat
21.07.2008 08:02 1.023.164 PerfStringBackup.INI
14.07.2008 13:09 62.976 tzchange.exe
13.07.2008 07:41 520.192 Hancock Screensaver.scr
07.07.2008 22:30 253.952 es.dll
06.07.2008 16:17 18.979 wbers.dat.dmp
24.06.2008 18:22 74.240 mscms.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
22.06.2008 23:28 2.206 wpa.dbl
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll
18.06.2008 17:54 18.015 ijjiSetup.log
12.06.2008 15:08 58.800 ijjiPlugin2.dll
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe


Verzeichnis von C:\DOKUME~1\Dennis\LOKALE~1\Temp

26.08.2008 11:29 99.689 datfind.txt
26.08.2008 11:27 114.688 ~DFF707.tmp
26.08.2008 11:16 218.899 jusched.log
26.08.2008 11:13 0 etilqs_Z5Lpc1kk0s36GMbBS5UZ
26.08.2008 09:22 60.416 perflib_perfdata__755.dat
26.08.2008 06:59 236.679.168 Photoshop Temp20969
26.08.2008 06:20 1.416 wmplog09.sqm
26.08.2008 05:44 59.964 Adobelm_Cleanup.0001
26.08.2008 05:44 699 TWAIN.LOG
26.08.2008 05:44 156 Twunk001.MTX
26.08.2008 05:44 5 Twain001.Mtx
26.08.2008 05:41 28.700 etilqs_ixnRe1m5J5NuhLBdRsIb
26.08.2008 02:50 1.384 wmplog08.sqm
26.08.2008 01:39 311.296 ~DF786D.tmp
26.08.2008 01:35 93.361 4EC577.dmp
26.08.2008 01:35 37.470 cab7_appcompat.txt
26.08.2008 01:35 5.730.823 4E908C.dmp
26.08.2008 01:35 6.618 8b94_appcompat.txt
26.08.2008 00:07 12.304 etilqs_rprVUh3BzqmwhkXZY4vM
25.08.2008 23:48 311.296 ~DFC430.tmp
25.08.2008 23:39 512 ~DFF483.tmp
25.08.2008 23:39 507.904 ~DFF477.tmp
25.08.2008 23:39 512 ~DFE30E.tmp
25.08.2008 23:39 507.904 ~DFE309.tmp
25.08.2008 23:08 311.296 ~DF3BF.tmp
25.08.2008 23:06 28.704 etilqs_iCtgpaE28CeisiicySSO
25.08.2008 21:45 5.730.823 353D55.dmp
25.08.2008 21:45 6.618 3722_appcompat.txt
25.08.2008 20:46 0 .tt7A.tmp
25.08.2008 20:35 0 .tt6F.tmp
25.08.2008 20:25 0 .tt68.tmp
25.08.2008 20:14 0 .tt61.tmp
25.08.2008 20:11 311.296 ~DF22D7.tmp
25.08.2008 20:04 0 .tt55.tmp
25.08.2008 19:53 0 .tt4A.tmp
25.08.2008 19:43 0 .tt42.tmp
25.08.2008 19:32 0 .tt1B.tmp
25.08.2008 18:17 6.840 PCULog0.txt
25.08.2008 18:13 0 .tt27.tmp
25.08.2008 18:03 0 .tt18.tmp
25.08.2008 17:57 0 .tt41.tmp
25.08.2008 17:46 0 .tt17.tmp
25.08.2008 17:36 0 .tt15D.tmp
25.08.2008 17:25 0 .tt157.tmp
25.08.2008 17:15 0 .tt150.tmp
25.08.2008 17:04 0 .tt149.tmp
25.08.2008 16:54 0 .tt143.tmp
25.08.2008 16:43 0 .tt13D.tmp
25.08.2008 16:33 0 .tt137.tmp
25.08.2008 16:22 0 .tt131.tmp
25.08.2008 16:12 0 .tt12B.tmp
25.08.2008 16:01 0 .tt125.tmp
25.08.2008 15:51 0 .tt11F.tmp
25.08.2008 15:40 0 .tt119.tmp
25.08.2008 15:30 0 .tt113.tmp
25.08.2008 15:19 0 .tt10D.tmp
25.08.2008 15:09 0 .tt107.tmp
25.08.2008 14:58 0 .tt101.tmp
25.08.2008 14:48 0 .ttFB.tmp
25.08.2008 14:37 0 .ttF4.tmp
25.08.2008 14:27 0 .ttED.tmp
25.08.2008 14:16 0 .ttE6.tmp
25.08.2008 14:06 0 .ttDF.tmp
25.08.2008 13:55 0 .ttD3.tmp
25.08.2008 13:44 0 .ttC8.tmp
25.08.2008 13:34 0 .ttBF.tmp
25.08.2008 13:23 0 .ttB7.tmp
25.08.2008 13:13 0 .ttB0.tmp
25.08.2008 13:02 0 .ttA8.tmp
25.08.2008 12:52 0 .ttA0.tmp
25.08.2008 12:41 0 .tt98.tmp
25.08.2008 12:31 0 .tt90.tmp
25.08.2008 12:20 0 .tt89.tmp
25.08.2008 12:10 0 .tt80.tmp
25.08.2008 11:59 0 .tt79.tmp
25.08.2008 11:49 0 .tt72.tmp
25.08.2008 11:38 0 .tt6C.tmp
25.08.2008 11:28 0 .tt66.tmp
25.08.2008 11:17 0 .tt5F.tmp
25.08.2008 11:07 0 .tt59.tmp
25.08.2008 10:56 0 .tt52.tmp
25.08.2008 10:46 0 .tt4B.tmp
25.08.2008 10:35 0 .tt44.tmp
25.08.2008 10:25 0 .tt3E.tmp
25.08.2008 10:14 0 .tt37.tmp
25.08.2008 10:04 0 .tt31.tmp
25.08.2008 09:53 0 .tt2B.tmp
25.08.2008 09:43 0 .tt24.tmp
25.08.2008 09:32 0 .tt1E.tmp
25.08.2008 09:22 0 .tt13.tmp
25.08.2008 09:15 0 .tt14.tmp
25.08.2008 09:03 0 .ttF6.tmp
25.08.2008 08:53 0 .ttEF.tmp
25.08.2008 08:51 174.224 java_install_reg.log
25.08.2008 08:47 1.648 wmplog07.sqm
25.08.2008 08:42 0 .ttE8.tmp
25.08.2008 08:32 0 .ttE2.tmp
25.08.2008 08:21 0 .ttDB.tmp
25.08.2008 08:11 0 .ttCF.tmp
25.08.2008 08:00 0 .ttC7.tmp
25.08.2008 07:50 0 .ttC0.tmp
25.08.2008 07:39 0 .ttB9.tmp
25.08.2008 07:29 0 .ttB3.tmp
25.08.2008 07:18 0 .ttAD.tmp
25.08.2008 07:07 0 .ttA6.tmp
25.08.2008 06:57 0 .tt9C.tmp
25.08.2008 06:46 0 .tt95.tmp
25.08.2008 06:36 0 .tt8E.tmp
25.08.2008 06:25 0 .tt87.tmp
25.08.2008 06:15 0 .tt81.tmp
25.08.2008 06:04 0 .tt7B.tmp
25.08.2008 05:53 0 .tt60.tmp
25.08.2008 05:43 0 .tt46.tmp
25.08.2008 05:32 0 .tt12.tmp
25.08.2008 04:42 0 .ttA9.tmp
25.08.2008 04:32 0 .ttA3.tmp
25.08.2008 04:21 0 .tt9D.tmp
25.08.2008 04:10 0 .tt97.tmp
25.08.2008 04:00 0 .tt88.tmp
25.08.2008 03:49 0 .tt73.tmp
25.08.2008 03:39 0 .tt56.tmp
25.08.2008 03:28 0 .tt50.tmp
25.08.2008 03:18 0 .tt1A.tmp
25.08.2008 03:07 0 .tt10.tmp
25.08.2008 02:53 0 .tt3B.tmp
25.08.2008 02:42 0 .tt25.tmp
25.08.2008 02:27 512 ~DF150B.tmp
25.08.2008 02:27 507.904 ~DF14C4.tmp
25.08.2008 02:27 512 ~DF50C.tmp
25.08.2008 02:27 507.904 ~DF4F6.tmp
25.08.2008 02:21 0 .ttDC.tmp
25.08.2008 02:11 0 .ttDA.tmp
25.08.2008 02:01 0 .ttD8.tmp
25.08.2008 01:51 0 .ttD6.tmp
25.08.2008 01:41 0 .ttD4.tmp
25.08.2008 01:30 0 .ttD2.tmp
25.08.2008 01:20 0 .ttD0.tmp
25.08.2008 01:10 0 .ttCD.tmp
25.08.2008 01:00 0 .ttCB.tmp
25.08.2008 00:50 0 .ttC6.tmp
25.08.2008 00:39 0 .ttBC.tmp
25.08.2008 00:39 677.888 tdsBB.tmp
25.08.2008 00:39 51.200 pgcdmqkl.exe
24.08.2008 17:51 1.416 wmplog06.sqm
24.08.2008 07:10 1.416 wmplog05.sqm
24.08.2008 06:57 1.416 wmplog04.sqm
24.08.2008 06:47 1.416 wmplog03.sqm
24.08.2008 05:36 14.083 tmp31F.tmp
24.08.2008 05:35 0 tmp31E.tmp
24.08.2008 05:29 1.416 wmplog02.sqm
24.08.2008 05:27 1.416 wmplog01.sqm
24.08.2008 04:44 2.080 wmplog00.sqm
23.08.2008 08:34 0 9tj20C.tmp
22.08.2008 18:22 0 PatchByFile.tmp
22.08.2008 06:40 0 jrf29D.tmp
22.08.2008 06:14 0 Twunk002.MTX
22.08.2008 05:37 153.056 unwise.exe
22.08.2008 05:26 0 uis21A.tmp
21.08.2008 18:41 620 dw.log
21.08.2008 06:42 134.690 Solid-31d3d04147f1e1d605d8d973912ae8202e4fa56f.FFS
21.08.2008 06:42 334.189 Solid-f52d46c74bc486181a38421b631d4293c90af763.FFS
21.08.2008 06:27 861 java_install_sp.log
21.08.2008 06:27 9.617 jinstall.cfg
21.08.2008 05:51 11.188 dd_vcredistUI45B7.txt
21.08.2008 05:51 557.874 dd_vcredistMSI45B7.txt
20.08.2008 21:21 0 8019A3.dmp
23.06.2008 18:14 826.368 np23.tmp
10.06.2008 14:53 382.352 jre-6u7-windows-i586-p-iftw_bdb28397.exe


Verzeichnis von C:\WINDOWS

26.08.2008 11:00 1.111.873 WindowsUpdate.log
26.08.2008 10:58 2.048 bootstat.dat
26.08.2008 10:57 845 win.ini
26.08.2008 10:57 227 system.ini
26.08.2008 09:51 32.644 SchedLgU.Txt
26.08.2008 09:47 0 0.log
26.08.2008 06:34 1.409 QTFont.for
26.08.2008 06:34 54.156 QTFont.qfn
26.08.2008 05:43 50 wiaservc.log
26.08.2008 05:43 354 wiadebug.log
26.08.2008 01:34 50 GunzLauncher.INI
25.08.2008 19:16 75 setupact.log
25.08.2008 19:16 14.664 setupapi.log
25.08.2008 19:16 0 setuperr.log
22.08.2008 17:49 399 wmsetup.log


Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.07.2008 13:57 6.091 solidbrowserplugin.inf
17.06.2008 10:20 480.688 ijjistarter2.exe
12.06.2008 15:08 50.608 ijjiNotify2.exe
12.06.2008 15:08 79.280 ijjiPreNotify2.exe
12.06.2008 15:08 87.472 ijjiPreStarter2.exe

#10 Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

C:\DOKUME~1\Dennis\LOKALE~1\Temp\pgcdmqkl.exe

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte
__________
MfG Argus

#11 Datei pgcdmqkl.exe empfangen 2008.08.26 12:27:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 8/36 (22.23%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.26 PSW.Generic6.YYV
BitDefender 7.2 2008.08.26 Trojan.Spy.ZBot.JR
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6048 2008.08.25 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 Trojan-Spy.Win32.Zbot.ehx
Fortinet 3.14.0.0 2008.08.26 Spy/Zbot
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 Trojan-Spy.Win32.Zbot.ehx
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3388 2008.08.26 a variant of Win32/Spy.Agent.PZ
Norman 5.80.02 2008.08.26 W32/Zbot.AYY
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.26 -
Rising 20.59.10.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 Trojan Horse
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.26 -
weitere Informationen
File size: 51200 bytes
MD5...: 872574e36104a7ac376cd0af2ad77c5a
SHA1..: b60b2e580e38fb75c5499b4b1ade99ff14c71c48
SHA256: f5994f575a93f7cb609ffc5e7ceb4d8a6b7098b1afe6908004c7ca378460f42c
SHA512: 4d431db6a66d53600aed8a251883f6ccc0c3113aea3138458830e7fca2752c97
a6312af1e3c6396285ea1ee0665fb5ab349a9b77458b64f22e612cd2592b971d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4102e8
timedatestamp.....: 0x461110b8 (Mon Apr 02 14:18:32 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.mnkv 0x1000 0xecb2 0xa200 7.68 d2444368c1aa36dbd3d26d91c656c02e
.dgv 0x10000 0x1389 0x800 6.75 625a306d913fcdcd14fceb886db96003
.nwl 0x12000 0x13000 0x1600 7.06 0bae43f52383cbe7e361e8798acba80b
.rsrc 0x25000 0x1000 0x400 3.59 c1113dcc5b2cf3113de8031f1a1d2f6d

( 4 imports )
> advapi32.dll: CryptReleaseContext
> kernel32.dll: HeapReAlloc
> shlwapi.dll: PathFindFileNameW, SHDeleteKeyA, StrCmpNIA, StrCmpNIW, StrStrW, wnsprintfA, wnsprintfW, wvnsprintfA, wvnsprintfW
> user32.dll: CloseDesktop, CloseWindowStation, EndDialog, FindWindowExA, GetClassNameA, GetKeyboardState, GetWindowLongA, GetWindowTextA, PeekMessageA, ToUnicode

( 0 exports )

#12 Es waere nett, wenn du dir nochmal eine neue Version von Combofix herunterladen koenntest, diese auf dem Desktop in z.B. tester.exe umbenennst und dann startest.

Es kann sein, das es dann funktioniert, aber trotzdem den Anschein macht, das es nicht laeuft. Warte dann einfach ca 5 Min, starte den Rechner dann neu und starte die umbenannte combofix.exe erneut. Spaetestens dann sollte es funktionieren.

BTW: Ein rootkitscan mit Antivir findet diese tds* Dateien nicht?
__________
MfG Ralf
SEO-Spam Hunter

#13 Antivir Rootkitscanner http://dl.antivir.de/down/windows/antivir_rootkit.zip
__________
MfG Argus

#14 Ergebniss momentan das gleiche...er will dass ich Neustarte (Die Pieps-Töne dazu ziemlich unsanft^^) ... nach Neustart bietet er mir gleich Installierung/Ausführung an...aber es kommt nichts wenn ich drauf klicke =/


btw ist mir momentan schonmal gut geholfen...Flash + Video Dateien lassen sich wieder abspielen, PC lagg gefixxed, Uploads bei Tinypic/Imageshack gehen auch wieder
Danke schonmal für den moment...auch wenn anscheinend noch nicht vorbei ist ^^

Ich lass PC jetzt mal ein wenig ruhen und probiers dann nochmal mit dem Combofix.

#15 1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,

O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Das Häkchen "Scan for Rootkits" sollte angehakt sein

kopiere in das weisse Feld:

Zitat

Drivers to disable:
tdssserv
Drivers to delete:
tdssserv
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\tdssserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\tdssserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv
Files to delete:
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\tmp31F.tmp
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\pgcdmqkl.exe
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\.ttBC.tmp
C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\tdsBB.tmp
C:\WINDOWS\system32\blphc75tj0eg49.scr
C:\WINDOWS\system32\phc75tj0eg49.bmp
C:\WINDOWS\Temp\tdss6b43.tmp
C:\WINDOWS\Temp\tdssd698.tmp
C:\WINDOWS\Temp\tdssd89b.tmp
C:\WINDOWS\Temp\tdssda12.tmp
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\drivers\tdssserv.sys

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

---------

Link:
http://www.threatexpert.com/report.aspx?uid=22078c2c-21ff-42f2-8db3-e0220925c427
__________
MfG Sabina

rund um die PC-Sicherheit