windows zeigt spyware infected, firewall lässt sich nicht aktivieren

#0
13.10.2008, 13:24
Member

Beiträge: 44
#1 hilfe


windows zeigt ständig an, dass mein rechner spyware infected ist. ständig gehen irgenwelche internetseiten auf und meine firewall lässt sich nicht mehr aktivieren...


hilfe!!!
Seitenanfang Seitenende
13.10.2008, 14:11
Moderator

Beiträge: 7802
#2 Hallo dom2607,

arbeite bitte die Punkte 1-4 aus dem Thread http://board.protecus.de/t23188.htm ab und poste die entsprechenden Reporte
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2008, 18:43
Member

Themenstarter

Beiträge: 44
#3 so hier ist mal das reinigungslog von malware.nachdem ich es mehreree male hab durchlaufen lassen müssen, da es nicht immer vollendet werden konnte.

ich hoff es kann dir weiterhelfen. hab für das letzte scannen fast 3 stunden (die 5 abgebrochenen scans davor 4 stunden) benötigt...

ich mach jetzt mit dem dritten teil weiter.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1267
Windows 5.1.2600 Service Pack 3

14.10.2008 18:31:47
mbam-log-2008-10-14 (18-31-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 202861
Laufzeit: 2 hour(s), 42 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{78051A1E-3C32-4A55-9CEE-3DE2D388BE78}\RP44\A0009929.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{78051A1E-3C32-4A55-9CEE-3DE2D388BE78}\RP44\A0009932.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{78051A1E-3C32-4A55-9CEE-3DE2D388BE78}\RP44\A0009933.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{78051A1E-3C32-4A55-9CEE-3DE2D388BE78}\RP44\A0009983.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.



so hier der bericht von combofix...

ComboFix 08-10-12.01 - DOM 2008-10-14 18:48:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1475 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\DOM\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dwtjgdxd.ini
C:\WINDOWS\system32\yyxFOXbc.ini
C:\WINDOWS\system32\yyxFOXbc.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.

2008-10-14 11:23 . 2008-10-14 11:23 77,824 --a------ C:\WINDOWS\system32\ejmluzqt.exe
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- E:\Programme\Malwarebytes' Anti-Malware
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Malwarebytes
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 10:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 10:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:24 . 2008-10-14 10:24 <DIR> d-------- E:\Programme\CCleaner
2008-10-13 21:01 . 2008-10-13 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-10-13 21:00 . 2008-10-13 10:15 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-10-13 13:25 . 2008-10-13 13:48 2,061 --a------ C:\WINDOWS\wininit.ini
2008-10-13 13:00 . 2008-10-13 13:00 <DIR> d-------- E:\Programme\Spybot - Search & Destroy
2008-10-13 13:00 . 2008-10-14 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-13 10:13 . 2008-10-13 21:00 <DIR> d-------- E:\Programme\gemeinsame dateien\PC Tools
2008-10-13 01:32 . 2008-10-14 18:45 <DIR> d-------- E:\Programme\Spyware Doctor
2008-10-13 01:32 . 2008-10-13 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\PC Tools
2008-10-13 01:32 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-13 01:32 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-13 01:32 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-13 01:32 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-12 22:22 . 2008-10-14 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xszojqxg
2008-10-09 09:55 . 2008-10-09 09:55 <DIR> d-------- E:\Programme\iPod
2008-10-09 09:55 . 2008-10-09 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-08 20:50 . 2008-10-10 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Contacts
2008-10-07 09:59 . 2008-10-07 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\ICQ
2008-10-07 09:58 . 2008-10-07 10:15 <DIR> d-------- E:\Programme\ICQ6
2008-10-01 10:58 . 2008-10-01 10:59 <DIR> d-------- E:\Programme\Picasa2
2008-10-01 10:56 . 2008-10-01 10:56 <DIR> d-------- E:\Programme\Western Digital
2008-09-23 16:24 . 2008-09-23 16:24 <DIR> d-------- E:\Programme\gemeinsame dateien\Adobe AIR
2008-09-23 12:07 . 2008-09-23 12:07 268 --ah----- C:\sqmdata04.sqm
2008-09-23 12:07 . 2008-09-23 12:07 244 --ah----- C:\sqmnoopt04.sqm
2008-09-18 23:49 . 2008-09-18 23:49 268 --ah----- C:\sqmdata03.sqm
2008-09-18 23:49 . 2008-09-18 23:49 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 16:58 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Skype
2008-10-14 16:57 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-14 14:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-14 14:06 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\skypePM
2008-10-13 11:58 --------- d-----w E:\Programme\ScreenShooter
2008-10-13 11:57 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Azureus
2008-10-13 11:21 --------- d-----w E:\Programme\CleanUp!
2008-10-12 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-12 20:34 --------- d-----w E:\Programme\Lavasoft
2008-10-12 20:34 --------- d-----w E:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 20:44 --------- d-----w E:\Programme\Google
2008-10-09 07:55 --------- d-----w E:\Programme\iTunes
2008-10-09 07:46 --------- d-----w E:\Programme\Bonjour
2008-10-09 07:38 --------- d-----w E:\Programme\QuickTime
2008-10-09 07:38 --------- d-----w E:\Programme\Gemeinsame Dateien\Apple
2008-10-08 18:45 0 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2008-10-08 18:45 --------- d--h--w E:\Programme\InstallShield Installation Information
2008-10-08 18:45 --------- d-----w E:\Programme\Nikon
2008-10-08 18:45 --------- d-----w E:\Programme\Gemeinsame Dateien\Nikon
2008-10-08 18:44 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdy.DAT
2008-10-08 18:44 --------- d-----w E:\Programme\Gemeinsame Dateien\InstallShield
2008-10-03 23:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-30 21:10 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\SolidWorks
2008-09-14 21:36 366,952 ----a-w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-04 09:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-08-29 13:32 --------- d-----w E:\Programme\Apple Software Update
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-24 20:22 --------- d-----w E:\Programme\DivX
2008-08-19 15:19 --------- d-----w E:\Programme\Java
2008-08-08 14:49 0 -c-h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 -c--a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2005-09-14 10:58 20,480 ----a-w E:\Programme\Gemeinsame Dateien\UninstallDrv.exe
2005-06-26 23:32 616,448 --sha-r E:\Programme\cygwin1.dll
2005-06-22 06:37 45,568 --sha-r E:\Programme\cygz.dll
2005-06-22 06:37 45,568 --sha-r E:\Programme\cygz.bin
2007-03-09 08:12 27,648 -csha-w C:\WINDOWS\system32\AVSredirect.dll
2008-03-31 10:03 13,672,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="E:\Programme\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Mikogo"="E:\Programme\Mikogo\Mikogo.exe" [2008-02-11 2285568]
"MsnMsgr"="E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB3803"="command" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-21 7557120]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"SynTPEnh"="E:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Acrobat Assistant 8.0"="E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"Adobe_ID0EYTHM"="E:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-20 185896]
"CanonSolutionMenu"="E:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="E:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"Omnipage"="E:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"Picasa Media Detector"="E:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]
"QuickTime Task"="E:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"ISTray"="E:\Programme\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264]
"nwiz"="nwiz.exe" [2006-03-21 C:\WINDOWS\system32\nwiz.exe]
"NVHotkey"="nvHotkey.dll" [2006-03-21 C:\WINDOWS\system32\nvhotkey.dll]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 C:\WINDOWS\stsystra.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
"NvMediaCenter"="NvMCTray.dll" [2006-03-21 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - E:\Programme\Logitech\SetPoint\SetPoint.exe [2008-08-31 805392]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Windows Desktop Search.lnk - E:\Programme\Windows Desktop Search\WindowsSearch.exe [2006-03-26 257752]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "E:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 e:\Programme\gemeinsame dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 16:13 49152 E:\PROGRA~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=xwmtmt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= E:\PROGRA~1\iac25_32.ax
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\Programme\\Autodesk\\backburner\\manager.exe"=
"E:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"E:\\Programme\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"E:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"E:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"E:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-10-13 160792]
R2 IJPLMSVC;PIXMA Extended Survey Program;E:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 3712]
S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\DRIVERS\AF15BDA.sys [2008-06-09 306816]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-14 13352]
S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-06-27 140800]
S3 utqwndez;AVZ Kernel Driver;C:\WINDOWS\system32\Drivers\utqwndez.sys [ ]
S3 WDM_Capture_225;Digital-TV Receiver.;C:\WINDOWS\system32\Drivers\WDM_Capture_225.sys [2006-03-20 19328]
S3 WDM_Loader_225;DVB-T TV;C:\WINDOWS\system32\Drivers\WDM_Loader_225.sys [2006-06-05 17024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05af2c38-9259-11dd-bb8a-0015c5551068}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1cfab0e6-9450-11dd-bb8d-0015c5551068}]
\Shell\AutoRun\command - H:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23a77795-1ba2-11dd-816d-0015c5551068}]
\Shell\Auto\command - auto.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c89491e8-9759-11db-900f-0015c5551068}]
\Shell\AutoRun\command - H:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebec7709-7fb8-11dc-9a1d-0015c5551068}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- E:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-common - C:\WINDOWS\system32\mhafqfsn.exe
HKLM-Run-{9284C590-2364-B640-A982-E205A23DFC68} - C:\Dokumente und Einstellungen\DOM\Desktop\MSCodec.1408.13.exe
Notify-ljJYOIcb - ljJYOIcb.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Mozilla\Firefox\Profiles\xm29wz38.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - gmx.de
FF -: plugin - E:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - E:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - E:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 18:55:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
E:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\gemeinsame dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\gemeinsame dateien\Autodesk Shared\Service\AdskScSrv.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\DCPFLICS\DCPFLICS.exe
E:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
E:\Programme\Stardock\ObjectDock\ObjectDock.exe
E:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Windows Desktop Search\WindowsSearchIndexer.exe
E:\Programme\gemeinsame dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\WINDOWS\system32\PAStiSvc.exe
E:\Programme\gemeinsame dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-14 19:02:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 17:02:10

Vor Suchlauf: 3.813.416.960 Bytes frei
Nach Suchlauf: 3,907,633,152 Bytes frei

257 --- E O F --- 2008-09-10 10:02:30




so und hier der hijackthis log....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:18, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
E:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RunDLL32.exe
E:\Programme\Java\jre1.6.0_07\bin\jusched.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Canon\MyPrinter\BJMyPrt.exe
E:\Programme\ScanSoft\OmniPageSE\opware32.exe
E:\Programme\Picasa2\PicasaMediaDetector.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\Spyware Doctor\pctsTray.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Mikogo\Mikogo.exe
E:\Programme\Windows Live\Messenger\MsnMsgr.Exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
E:\Programme\Logitech\SetPoint\SetPoint.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Windows Desktop Search\WindowsSearch.exe
E:\Programme\DCPFLICS\DCPFLICS.exe
E:\Programme\Canon\IJPLM\IJPLMSVC.EXE
E:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
E:\Programme\Stardock\ObjectDock\ObjectDock.exe
E:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Windows Desktop Search\WindowsSearchIndexer.exe
E:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DOM\LOKALE~1\Temp\Rar$EX01.797\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] E:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CanonSolutionMenu] E:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] E:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Omnipage] E:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Picasa Media Detector] E:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "E:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [{9284C590-2364-B640-A982-E205A23DFC68}] "C:\Dokumente und Einstellungen\DOM\Desktop\MSCodec.1408.13.exe" /r
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mikogo] "E:\Programme\Mikogo\Mikogo.exe"
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [common] C:\WINDOWS\system32\mhafqfsn.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3803] command /c del "E:\Programme\PCHealthCenter\0.gif"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = E:\Programme\Adobe Media Player\Adobe Media Player.exe
O4 - Startup: RC.exe.lnk = E:\Programme\DTV\Yakumo QuickStick Basic DVB-T\RC.exe
O4 - Startup: Stardock ObjectDock.lnk = E:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Desktop Search.lnk = E:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Append to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {86AECD83-EF3C-40FD-84B1-692848C9F378} (Materialise Stl File Analyzer Viewer) - https://nextdayoqaos.materialise.com/Upserver/EposActiveX.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: xwmtmt.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - E:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DCPFLICS - Unknown owner - E:\Programme\DCPFLICS\DCPFLICS.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - E:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - E:\Programme\gemeinsame dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - E:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - E:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/DOM/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 11930 bytes
Dieser Beitrag wurde am 14.10.2008 um 19:16 Uhr von dom2607 editiert.
Seitenanfang Seitenende
18.10.2008, 15:42
Moderator

Beiträge: 7802
#4 Bitte lasse folgende DAtei bei Virustotal pruefen und poste das gesamte Ergebniss, bzw den Link zum Ergebnis.

Loesche den Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xszojqxg

Erstelle danach mit einer neu heruntergeladenen Combofix Version ein neuen Report.

Was fuer ein Laufwerk verbirgt sich hinter h:\
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.10.2008, 20:30
Member

Themenstarter

Beiträge: 44
#5 welche datei soll ich denn nun prüfen lassen?

der ordner ist gelöscht, er war leer.

das laufwerk H kenn ich nicht.könnte dann aber einer meiner externen sein.

beste grüße

combofix mach ich erst nach dem prüfen oder?
Seitenanfang Seitenende
18.10.2008, 21:53
Moderator

Beiträge: 7802
#6 Uh, tschuldige, diese Datei bitte pruefen lassen....
C:\WINDOWS\system32\ejmluzqt.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.10.2008, 22:05
Member

Themenstarter

Beiträge: 44
#7 die datei ist nicht nmehr vorhanden. vermutlich nach mehreren scanns auch rausgeflogen...

mach jetzt mal combofix und poste dann den bericht
Seitenanfang Seitenende
18.10.2008, 22:51
Moderator

Beiträge: 5694
#8 >>
teatimer deaktivieren:
Zum Deaktivieren des TeaTimer-Moduls musst du in Spybot Search & Destroy in der Menüleiste unter "Modus" zunächst den "Erweiterten Modus" wählen.
Dann links im Menü "Werkzeuge" auswählen. Nun - ebenfalls links - den Untermenü-Punkt "Resident" wählen und nun das Häkchen bei "Resident Teatimer (Schutz von Systemeinstellungen)" entfernen. (Umgekehrt kannst du Teatimer dort später auch wieder aktivieren).

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Lass folgende Dateien bei Virustotal überprüfen:

C:\WINDOWS\system32\mhafqfsn.exe
C:\Dokumente und Einstellungen\DOM\Desktop\MSCodec.1408.13.exe

(falls vorhanden)

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"


>>
Wende SDFIX im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss
Seitenanfang Seitenende
19.10.2008, 06:50
Member

Themenstarter

Beiträge: 44
#9 so hier das combofix log...


ComboFix 08-10-17.01 - DOM 2008-10-19 6:37:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1191 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\DOM\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-18 bis 2008-10-18 ))))))))))))))))))))))))))))))
.







so und hier das sdfix log...



SDFix: Version 1.236
Run by DOM on 19.10.2008 at 07:18

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

E:\Programme\Gemeinsame Dateien\UninstallDrv.exe - Deleted
C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\GDIPFONTCACHEV1.DAT - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 07:24:09
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"="E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe:*;)isabled:3ds Max application"
"E:\\Programme\\Mozilla Firefox\\firefox.exe"="E:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"E:\\Programme\\Autodesk\\backburner\\manager.exe"="E:\\Programme\\Autodesk\\backburner\\manager.exe:*:Enabled:backburner Manager Application"
"E:\\Programme\\Autodesk\\backburner\\monitor.exe"="E:\\Programme\\Autodesk\\backburner\\monitor.exe:*:Enabled:backburner Monitor Application"
"E:\\Programme\\Azureus\\Azureus.exe"="E:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"E:\\Programme\\Windows Live\\Messenger\\livecall.exe"="E:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"E:\\Programme\\Bonjour\\mDNSResponder.exe"="E:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"E:\\Programme\\iTunes\\iTunes.exe"="E:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"E:\\Programme\\Skype\\Phone\\Skype.exe"="E:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"E:\\Programme\\Windows Live\\Messenger\\livecall.exe"="E:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 15 Aug 1997 508 ..SHR --- "C:\winpage.sys"
Fri 9 Mar 2007 27,648 A.SH. --- "C:\WINDOWS\system32\AVSredirect.dll"
Sun 26 Nov 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 20 Dec 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!



2008-10-17 22:05 . 2008-10-17 22:07 1,393 --a------ C:\WINDOWS\imsins.BAK
2008-10-15 11:31 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 11:30 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 11:30 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 11:30 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 11:30 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 11:30 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- E:\Programme\Malwarebytes' Anti-Malware
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Malwarebytes
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 10:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 10:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:24 . 2008-10-14 10:24 <DIR> d-------- E:\Programme\CCleaner
2008-10-13 21:01 . 2008-10-13 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-10-13 21:00 . 2008-10-13 10:15 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-10-13 13:25 . 2008-10-13 13:48 2,061 --a------ C:\WINDOWS\wininit.ini
2008-10-13 13:00 . 2008-10-13 13:00 <DIR> d-------- E:\Programme\Spybot - Search & Destroy
2008-10-13 13:00 . 2008-10-15 08:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-13 10:13 . 2008-10-13 21:00 <DIR> d-------- E:\Programme\gemeinsame dateien\PC Tools
2008-10-13 01:32 . 2008-10-18 22:16 <DIR> d-------- E:\Programme\Spyware Doctor
2008-10-13 01:32 . 2008-10-13 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\PC Tools
2008-10-13 01:32 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-13 01:32 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-13 01:32 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-13 01:32 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-09 09:55 . 2008-10-09 09:55 <DIR> d-------- E:\Programme\iPod
2008-10-09 09:55 . 2008-10-09 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-08 20:50 . 2008-10-10 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Contacts
2008-10-07 09:59 . 2008-10-07 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\ICQ
2008-10-07 09:58 . 2008-10-07 10:15 <DIR> d-------- E:\Programme\ICQ6
2008-10-01 10:58 . 2008-10-01 10:59 <DIR> d-------- E:\Programme\Picasa2
2008-10-01 10:56 . 2008-10-01 10:56 <DIR> d-------- E:\Programme\Western Digital
2008-09-23 16:24 . 2008-09-23 16:24 <DIR> d-------- E:\Programme\gemeinsame dateien\Adobe AIR
2008-09-23 12:07 . 2008-09-23 12:07 268 --ah----- C:\sqmdata04.sqm
2008-09-23 12:07 . 2008-09-23 12:07 244 --ah----- C:\sqmnoopt04.sqm
2008-09-18 23:49 . 2008-09-18 23:49 268 --ah----- C:\sqmdata03.sqm
2008-09-18 23:49 . 2008-09-18 23:49 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 04:37 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Skype
2008-10-19 04:36 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\skypePM
2008-10-18 20:17 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-18 12:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-13 11:58 --------- d-----w E:\Programme\ScreenShooter
2008-10-13 11:57 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Azureus
2008-10-13 11:21 --------- d-----w E:\Programme\CleanUp!
2008-10-12 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-12 20:34 --------- d-----w E:\Programme\Lavasoft
2008-10-12 20:34 --------- d-----w E:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 20:44 --------- d-----w E:\Programme\Google
2008-10-09 07:55 --------- d-----w E:\Programme\iTunes
2008-10-09 07:46 --------- d-----w E:\Programme\Bonjour
2008-10-09 07:38 --------- d-----w E:\Programme\QuickTime
2008-10-09 07:38 --------- d-----w E:\Programme\Gemeinsame Dateien\Apple
2008-10-08 18:45 0 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2008-10-08 18:45 --------- d--h--w E:\Programme\InstallShield Installation Information
2008-10-08 18:45 --------- d-----w E:\Programme\Nikon
2008-10-08 18:45 --------- d-----w E:\Programme\Gemeinsame Dateien\Nikon
2008-10-08 18:44 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdy.DAT
2008-10-08 18:44 --------- d-----w E:\Programme\Gemeinsame Dateien\InstallShield
2008-10-03 23:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-30 21:10 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\SolidWorks
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-14 21:36 366,952 ----a-w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-08 10:41 333,824 ------w C:\WINDOWS\system32\drivers\srv.sys
2008-09-04 09:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-08-29 13:32 --------- d-----w E:\Programme\Apple Software Update
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-24 20:22 --------- d-----w E:\Programme\DivX
2008-08-19 15:19 --------- d-----w E:\Programme\Java
2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-08 14:49 0 -c-h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 -c--a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2005-09-14 10:58 20,480 ----a-w E:\Programme\Gemeinsame Dateien\UninstallDrv.exe
2005-06-26 23:32 616,448 --sha-r E:\Programme\cygwin1.dll
2005-06-22 06:37 45,568 --sha-r E:\Programme\cygz.dll
2005-06-22 06:37 45,568 --sha-r E:\Programme\cygz.bin
2007-03-09 08:12 27,648 -csha-w C:\WINDOWS\system32\AVSredirect.dll
2008-03-31 10:03 13,672,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="E:\Programme\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Mikogo"="E:\Programme\Mikogo\Mikogo.exe" [2008-02-11 2285568]
"MsnMsgr"="E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"common"="C:\WINDOWS\system32\mhafqfsn.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-21 7557120]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"SynTPEnh"="E:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Acrobat Assistant 8.0"="E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"Adobe_ID0EYTHM"="E:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-20 185896]
"CanonSolutionMenu"="E:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="E:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"Omnipage"="E:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"Picasa Media Detector"="E:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]
"QuickTime Task"="E:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"{9284C590-2364-B640-A982-E205A23DFC68}"="C:\Dokumente und Einstellungen\DOM\Desktop\MSCodec.1408.13.exe" [BU]
"nwiz"="nwiz.exe" [2006-03-21 C:\WINDOWS\system32\nwiz.exe]
"NVHotkey"="nvHotkey.dll" [2006-03-21 C:\WINDOWS\system32\nvhotkey.dll]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 C:\WINDOWS\stsystra.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
"NvMediaCenter"="NvMCTray.dll" [2006-03-21 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - E:\Programme\Logitech\SetPoint\SetPoint.exe [2008-08-31 805392]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Windows Desktop Search.lnk - E:\Programme\Windows Desktop Search\WindowsSearch.exe [2006-03-26 257752]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "E:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 e:\Programme\gemeinsame dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 16:13 49152 E:\PROGRA~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=xwmtmt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= E:\PROGRA~1\iac25_32.ax
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\Programme\\Autodesk\\backburner\\manager.exe"=
"E:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"E:\\Programme\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"E:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"E:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"E:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-10-13 160792]
R2 IJPLMSVC;PIXMA Extended Survey Program;E:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 3712]
S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\DRIVERS\AF15BDA.sys [2008-06-09 306816]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-14 13352]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-06-27 140800]
S3 utqwndez;AVZ Kernel Driver;C:\WINDOWS\system32\Drivers\utqwndez.sys [ ]
S3 WDM_Capture_225;Digital-TV Receiver.;C:\WINDOWS\system32\Drivers\WDM_Capture_225.sys [2006-03-20 19328]
S3 WDM_Loader_225;DVB-T TV;C:\WINDOWS\system32\Drivers\WDM_Loader_225.sys [2006-06-05 17024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05af2c38-9259-11dd-bb8a-0015c5551068}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1cfab0e6-9450-11dd-bb8d-0015c5551068}]
\Shell\AutoRun\command - H:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23a77795-1ba2-11dd-816d-0015c5551068}]
\Shell\Auto\command - auto.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c89491e8-9759-11db-900f-0015c5551068}]
\Shell\AutoRun\command - H:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebec7709-7fb8-11dc-9a1d-0015c5551068}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- E:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Mozilla\Firefox\Profiles\xm29wz38.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - gmx.de
FF -: plugin - E:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - E:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - E:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 06:38:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 6:40:20
ComboFix-quarantined-files.txt 2008-10-19 04:39:22
ComboFix2.txt 2008-10-14 17:02:53

Vor Suchlauf: 3,490,758,656 Bytes frei
Nach Suchlauf: 3,487,145,984 Bytes frei

228 --- E O F --- 2008-10-17 20:07:12
Dieser Beitrag wurde am 19.10.2008 um 07:30 Uhr von dom2607 editiert.
Seitenanfang Seitenende
19.10.2008, 13:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo dom2607

««
deaktiviere vorrübergehend:
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe


1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"common"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23a77795-1ba2-11dd-816d-0015c5551068}]
File::
C:\WINDOWS\system32\ejmluzqt.exe
C:\WINDOWS\system32\mhafqfsn.exe
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu
in C:\ComboFix.txt ist alles gespeichert, kopiere es ab

-------------

2.
scanne mit dr.web im abgesicherten modus - berichte, ob noch etwas entfernt wurde
http://virus-protect.org/cureit.html

-----------

3.
suche xwmtmt.dll und eine auto.exe - berichte, ob die dll und exe noch vorhanden ist.


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2008, 19:40
Member

Themenstarter

Beiträge: 44
#11 hier der neue combofix log

ComboFix 08-10-18.03 - DOM 2008-10-19 19:32:54.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1249 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\DOM\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\DOM\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\ejmluzqt.exe
C:\WINDOWS\system32\mhafqfsn.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 ))))))))))))))))))))))))))))))
.

2008-10-19 07:17 . 2008-10-19 07:17 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-19 07:12 . 2008-10-19 07:13 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-19 07:07 . 2008-10-19 07:27 <DIR> d-------- C:\SDFix
2008-10-17 22:05 . 2008-10-17 22:07 1,393 --a------ C:\WINDOWS\imsins.BAK
2008-10-15 11:31 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 11:30 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 11:30 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 11:30 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 11:30 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 11:30 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- E:\Programme\Malwarebytes' Anti-Malware
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Malwarebytes
2008-10-14 10:30 . 2008-10-14 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-14 10:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-14 10:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 10:24 . 2008-10-14 10:24 <DIR> d-------- E:\Programme\CCleaner
2008-10-13 21:01 . 2008-10-13 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-10-13 21:00 . 2008-10-13 10:15 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-10-13 13:25 . 2008-10-13 13:48 2,061 --a------ C:\WINDOWS\wininit.ini
2008-10-13 13:00 . 2008-10-13 13:00 <DIR> d-------- E:\Programme\Spybot - Search & Destroy
2008-10-13 13:00 . 2008-10-15 08:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-13 10:13 . 2008-10-13 21:00 <DIR> d-------- E:\Programme\gemeinsame dateien\PC Tools
2008-10-13 01:32 . 2008-10-19 07:01 <DIR> d-------- E:\Programme\Spyware Doctor
2008-10-13 01:32 . 2008-10-13 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\PC Tools
2008-10-13 01:32 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-13 01:32 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-13 01:32 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-13 01:32 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-09 09:55 . 2008-10-09 09:55 <DIR> d-------- E:\Programme\iPod
2008-10-09 09:55 . 2008-10-09 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-08 20:50 . 2008-10-10 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Contacts
2008-10-07 09:59 . 2008-10-07 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\ICQ
2008-10-07 09:58 . 2008-10-07 10:15 <DIR> d-------- E:\Programme\ICQ6
2008-10-01 10:58 . 2008-10-01 10:59 <DIR> d-------- E:\Programme\Picasa2
2008-10-01 10:56 . 2008-10-01 10:56 <DIR> d-------- E:\Programme\Western Digital
2008-09-23 16:24 . 2008-09-23 16:24 <DIR> d-------- E:\Programme\gemeinsame dateien\Adobe AIR
2008-09-23 12:07 . 2008-09-23 12:07 268 --ah----- C:\sqmdata04.sqm
2008-09-23 12:07 . 2008-09-23 12:07 244 --ah----- C:\sqmnoopt04.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 17:28 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Skype
2008-10-19 15:46 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\skypePM
2008-10-19 15:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-18 20:17 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-13 11:58 --------- d-----w E:\Programme\ScreenShooter
2008-10-13 11:57 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\Azureus
2008-10-13 11:21 --------- d-----w E:\Programme\CleanUp!
2008-10-12 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-12 20:34 --------- d-----w E:\Programme\Lavasoft
2008-10-12 20:34 --------- d-----w E:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-10 20:44 --------- d-----w E:\Programme\Google
2008-10-09 07:55 --------- d-----w E:\Programme\iTunes
2008-10-09 07:46 --------- d-----w E:\Programme\Bonjour
2008-10-09 07:38 --------- d-----w E:\Programme\QuickTime
2008-10-09 07:38 --------- d-----w E:\Programme\Gemeinsame Dateien\Apple
2008-10-08 18:45 0 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2008-10-08 18:45 --------- d--h--w E:\Programme\InstallShield Installation Information
2008-10-08 18:45 --------- d-----w E:\Programme\Nikon
2008-10-08 18:45 --------- d-----w E:\Programme\Gemeinsame Dateien\Nikon
2008-10-08 18:44 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdy.DAT
2008-10-08 18:44 --------- d-----w E:\Programme\Gemeinsame Dateien\InstallShield
2008-10-03 23:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-30 21:10 --------- d-----w C:\Dokumente und Einstellungen\DOM\Anwendungsdaten\SolidWorks
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ------w C:\WINDOWS\system32\drivers\srv.sys
2008-09-04 09:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-08-29 13:32 --------- d-----w E:\Programme\Apple Software Update
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-24 20:22 --------- d-----w E:\Programme\DivX
2008-08-19 15:19 --------- d-----w E:\Programme\Java
2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-08 14:49 0 -c-h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLbz.DAT
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 -c--a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2005-06-26 23:32 616,448 --sha-r E:\Programme\cygwin1.dll
2005-06-22 06:37 45,568 --sha-r E:\Programme\cygz.dll
2005-06-22 06:37 45,568 --sha-r E:\Programme\cygz.bin
2007-03-09 08:12 27,648 -csha-w C:\WINDOWS\system32\AVSredirect.dll
2008-03-31 10:03 13,672,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="E:\Programme\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Mikogo"="E:\Programme\Mikogo\Mikogo.exe" [2008-02-11 2285568]
"MsnMsgr"="E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-21 7557120]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"SynTPEnh"="E:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Acrobat Assistant 8.0"="E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"Adobe_ID0EYTHM"="E:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-20 185896]
"CanonSolutionMenu"="E:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="E:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"Omnipage"="E:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"Picasa Media Detector"="E:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]
"QuickTime Task"="E:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="E:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"nwiz"="nwiz.exe" [2006-03-21 C:\WINDOWS\system32\nwiz.exe]
"NVHotkey"="nvHotkey.dll" [2006-03-21 C:\WINDOWS\system32\nvhotkey.dll]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 C:\WINDOWS\stsystra.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
"NvMediaCenter"="NvMCTray.dll" [2006-03-21 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - E:\Programme\Logitech\SetPoint\SetPoint.exe [2008-08-31 805392]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Windows Desktop Search.lnk - E:\Programme\Windows Desktop Search\WindowsSearch.exe [2006-03-26 257752]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "E:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 e:\Programme\gemeinsame dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 16:13 49152 E:\PROGRA~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= E:\PROGRA~1\iac25_32.ax
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"E:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\Programme\\Autodesk\\backburner\\manager.exe"=
"E:\\Programme\\Autodesk\\backburner\\monitor.exe"=
"E:\\Programme\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"E:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"E:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"E:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-10-13 160792]
R2 IJPLMSVC;PIXMA Extended Survey Program;E:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 97432]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 3712]
S3 AF15BDA;AF9015 BDA Filter;C:\WINDOWS\system32\DRIVERS\AF15BDA.sys [2008-06-09 306816]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-14 13352]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-06-27 140800]
S3 utqwndez;AVZ Kernel Driver;C:\WINDOWS\system32\Drivers\utqwndez.sys [ ]
S3 WDM_Capture_225;Digital-TV Receiver.;C:\WINDOWS\system32\Drivers\WDM_Capture_225.sys [2006-03-20 19328]
S3 WDM_Loader_225;DVB-T TV;C:\WINDOWS\system32\Drivers\WDM_Loader_225.sys [2006-06-05 17024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05af2c38-9259-11dd-bb8a-0015c5551068}]
\Shell\AutoRun\command - wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1cfab0e6-9450-11dd-bb8d-0015c5551068}]
\Shell\AutoRun\command - H:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c89491e8-9759-11db-900f-0015c5551068}]
\Shell\AutoRun\command - H:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebec7709-7fb8-11dc-9a1d-0015c5551068}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- E:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-{9284C590-2364-B640-A982-E205A23DFC68} - C:\Dokumente und Einstellungen\DOM\Desktop\MSCodec.1408.13.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 19:33:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 19:35:43
ComboFix-quarantined-files.txt 2008-10-19 17:34:51
ComboFix2.txt 2008-10-19 04:40:21

Vor Suchlauf: 3.712.704.512 Bytes frei
Nach Suchlauf: 3,696,361,472 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

209 --- E O F --- 2008-10-17 20:07:12
Seitenanfang Seitenende
20.10.2008, 00:37
Moderator

Beiträge: 5694
#12

Zitat

suche xwmtmt.dll und eine auto.exe - berichte, ob die dll und exe noch vorhanden ist.
Was vorhanden?

Und was ergab der Scan mit Cureit?

Gruss Swiss
Seitenanfang Seitenende
20.10.2008, 00:55
Member

Themenstarter

Beiträge: 44
#13 dr web hat nch mal 20 dinger gefunden verschoben und gelöscht. hab keine dll oder auto.exe darunter gefunden. der scann dauerte 4,5 stunden

beste grüße
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »