keine Chance kdjze.exe zu entfernen

#1 Hallo Leute!

Hab ja schon einiges erlebt, aber das is jetzt Premiere.

Ich habe auf meinem System im Autostart (msconfig) folgenden Eintrag gefunden:

kdjze C:\WINDOWS\system32\kdjze.exe

Die Datei ist übrigens nicht in diesem oder anderen Verzeichnissen vorhanden.

Wenn ich den Eintrag deaktiviere ist er nach jedem Neustart wieder aktiviert.

Nun bin ich hergegangen und hab mir im Abgesicherten Modus alle Einträge der Registry die auf kdjze.exe verweisen gesucht und gelöscht.
Das kurriose dabei, sobald ich einen der Keys lösche und die Ansicht aktualisiere ist der Key wieder da.

Meine Frage an euch: Was kann ich tun?

Wenn ich mit der neuen Norton AntiVirus 2009 CD boote, Updates lade und auf Viren prüfe, dann findet er keine Bedrohungen. Die Installation von NAV 2009 startet und installiert es, aber nach dem Neustart wird NAV nicht mit gestartet.

Danke für alle hilfreichen Antworten!!!

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen

Download: Trend Micro Hijack This™
Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator".
__________
MfG Argus

#3 Hallo!

MBAM hat mir einiges gefunden, unter anderem die kdjze.exe und einen DNSChanger.
Nach dem Neustart musste ich erstmal die DNS-Adresse meines Routers neu eintragen um wieder ins Internet zu kommen.
Jetzt startet auch wieder NAV 2009 und Updates gehen sogar auch wieder.

DANKE!!!

Trotzdem hier noch den Inhalt der Logfiles aus MBAM und Hijack This, vielleicht findet Ihr ja noch was...

PS: Habe im Nachhinein nochmal in der Registry nach kdjze.exe gesucht und konnte diesmal alle Einträge löschen ohne das sie wieder auftauchten...

MBAM

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1387
Windows 5.1.2600 Service Pack 3

12.11.2008 11:08:20
mbam-log-2008-11-12 (11-08-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 61032
Laufzeit: 6 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 15
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdjze.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{98daa4f6-914b-47bb-8372-151dff727c21}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{98daa4f6-914b-47bb-8372-151dff727c21}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9f282e95-5b88-4f60-85f5-87b4fb920897}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{db6de476-fff7-457e-bef1-09b53fb3ca65}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{db6de476-fff7-457e-bef1-09b53fb3ca65}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{98daa4f6-914b-47bb-8372-151dff727c21}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{98daa4f6-914b-47bb-8372-151dff727c21}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9f282e95-5b88-4f60-85f5-87b4fb920897}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{db6de476-fff7-457e-bef1-09b53fb3ca65}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{db6de476-fff7-457e-bef1-09b53fb3ca65}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{98daa4f6-914b-47bb-8372-151dff727c21}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{98daa4f6-914b-47bb-8372-151dff727c21}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{9f282e95-5b88-4f60-85f5-87b4fb920897}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{db6de476-fff7-457e-bef1-09b53fb3ca65}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.19,85.255.112.140 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\kdjze.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.


Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:53, on 12.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\ACER\PSM.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Acer\eManager\admtray.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\AlarmS4.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
C:\Programme\TeamViewer3\TeamViewer_Host.exe
C:\WINDOWS\VPro520.exe
C:\Programme\TeamViewer3\TeamViewer.exe
C:\Programme\Acer\eManager\admServ.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lexware\faktura + auftrag\Pcfk32.exe
C:\Programme\Lexware\faktura + auftrag\W32MKDE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MPS] C:\ACER\PSM.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Programme\Acer\eManager\admtray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdjze.exe] C:\WINDOWS\system32\kdjze.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: AlarmS4.lnk = C:\WINDOWS\system32\AlarmS4.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: NETGEAR ProSafe VPN Client.lnk = C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
O4 - Global Startup: VPro520.lnk = ?
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190569276375
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB6DE476-FFF7-457E-BEF1-09B53FB3CA65}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Hardware Monitoring Program (ADMService) - OSA Technologies Inc - C:\Programme\Acer\eManager\admServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Programme\TeamViewer3\TeamViewer_Host.exe

--
End of file - 10266 bytes


Greetz,
Ben

#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdjze.exe] C:\WINDOWS\system32\kdjze.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\WINDOWS\system32\kdjze.exe und klicke OK

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#5 soderla,

Hijack This hat die kdjze.exe nicht mehr gefunden, genauso wie MBAM.

Hier das Log von Combofix:

ComboFix 08-11-11.01 - Ben 2008-11-12 14:01:22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.872 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ben\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-12 bis 2008-11-12 ))))))))))))))))))))))))))))))
.

2008-11-12 10:17 . 2008-11-12 13:57 <DIR> d-------- c:\programme\Hijack This
2008-11-12 10:13 . 2008-11-12 10:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-12 10:13 . 2008-11-12 10:13 <DIR> d-------- c:\dokumente und einstellungen\Ben\Anwendungsdaten\Malwarebytes
2008-11-12 10:13 . 2008-11-12 10:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-12 10:13 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-12 10:13 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-11 15:35 . 2008-11-11 16:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2008-11-11 15:22 . 2008-11-12 11:52 <DIR> d-------- c:\programme\Norton Support
2008-11-11 10:10 . 2008-11-11 10:09 35,888 -ra------ c:\windows\system32\drivers\SymIM.sys
2008-11-11 10:09 . 2008-11-11 10:09 <DIR> d-------- c:\windows\system32\drivers\NAV
2008-11-11 10:09 . 2008-11-11 10:09 <DIR> d-------- c:\programme\Windows Sidebar
2008-11-11 10:09 . 2008-11-11 15:36 <DIR> d-------- c:\programme\Symantec
2008-11-11 10:09 . 2008-11-11 15:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-11 10:09 . 2008-11-11 10:09 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2008-11-11 10:09 . 2008-11-11 10:09 60,808 --a------ c:\windows\system32\S32EVNT1.DLL
2008-11-11 10:09 . 2008-11-11 10:09 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT
2008-11-11 10:09 . 2008-11-11 10:09 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF
2008-11-11 10:07 . 2008-11-11 10:07 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Lexware
2008-11-11 10:06 . 2008-11-11 10:06 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Cherry
2008-11-11 10:06 . 2008-11-11 10:06 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Vorlagen
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> dr------- c:\dokumente und einstellungen\Admin\Startmenü
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Netzwerkumgebung
2008-11-11 10:05 . 2008-11-12 14:04 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Lokale Einstellungen
2008-11-11 10:05 . 2008-11-11 10:06 <DIR> d---s---- c:\dokumente und einstellungen\Admin\Favoriten
2008-11-11 10:05 . 2008-11-11 10:06 <DIR> d---s---- c:\dokumente und einstellungen\Admin\Eigene Dateien
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Druckumgebung
2008-11-11 10:05 . 2004-10-26 15:11 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Symantec
2008-11-11 10:05 . 2008-11-11 10:07 <DIR> dr-h----- c:\dokumente und einstellungen\Admin\Anwendungsdaten
2008-11-11 10:05 . 2008-11-11 10:05 <DIR> d-------- c:\dokumente und einstellungen\Admin
2008-11-10 12:43 . 2008-11-11 10:09 <DIR> d-------- c:\programme\Norton AntiVirus
2008-11-10 11:37 . 2008-11-10 11:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCSettings
2008-11-10 11:37 . 2008-11-11 10:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2008-11-10 11:36 . 2008-11-10 11:36 <DIR> d-------- c:\programme\NortonInstaller
2008-11-10 11:36 . 2008-11-11 10:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 13:04 --------- d-----w c:\dokumente und einstellungen\Ben\Anwendungsdaten\Skype
2008-11-12 10:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2008-11-10 10:33 --------- d-----w c:\dokumente und einstellungen\Ben\Anwendungsdaten\skypePM
2008-10-26 21:21 --------- d-----w c:\dokumente und einstellungen\Ben\Anwendungsdaten\ICQ
2008-10-15 12:53 --------- d-----w c:\programme\DivX
2008-10-12 18:35 --------- d-----w c:\programme\No23 Recorder
2008-09-23 03:04 --------- d-----w c:\programme\TeamViewer3
2008-09-22 13:17 2,620 --sha-w c:\windows\system32\KGyGaAvL.sys
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-09-15 18:40 --------- d-----w c:\programme\Valve
2008-04-09 19:23 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-03-03 172280]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-05-30 21718312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"MPS"="c:\acer\PSM.EXE" [2004-03-04 372736]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ADMTray.exe"="c:\programme\Acer\eManager\admtray.exe" [2004-10-11 1393664]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"CherryKeyMan"="c:\programme\Cherry\KeyMan\KeyMan.exe" [2007-04-03 237620]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Ben\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AlarmS4.lnk - c:\windows\system32\AlarmS4.exe [2003-08-19 241664]
Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2006-10-27 2732584]
NETGEAR ProSafe VPN Client.lnk - c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2008-04-16 77876]
VPro520.lnk - c:\windows\VPro520.exe [2007-11-16 73728]
VR-NetWorld Auftragspr�fung.lnk - c:\programme\VR-NetWorld\vrtoolcheckorder.exe [2007-12-04 548864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.GTC2"= gtcodec2.DLL
"vidc.ffds"= ffdshow.ax
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\windows\system32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2004-11-03 09:09 245760 c:\windows\system32\Check.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\IreIKE.exe"=
"c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe"= c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe:127.0.0.1/255.255.255.255:Enabled:ViewLog
"c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe"= c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe:127.0.0.1/255.255.255.255:Enabled:CMonApp
"c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe"= c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe:127.0.0.1/255.255.255.255:Enabled:VPN Connection Manager
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1000000.07D\SYMEFA.SYS [2008-11-11 309296]
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NAV\1000000.07D\BHDrvx86.sys [2008-11-11 254512]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1000000.07D\ccHPx86.sys [2008-11-11 362544]
R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20080826.006\IDSxpx86.sys [2008-11-11 274808]
R1 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\Drivers\IPSECDRV.sys [2007-09-27 138296]
R2 Crypto;Crypto;c:\windows\system32\Drivers\Crypto.sys [2005-08-15 536634]
R2 Norton AntiVirus;Norton AntiVirus;c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe /s Norton AntiVirus /m c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\diMaster.dll [ ]
R2 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2004-07-16 9901]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2004-09-20 10363]
R2 TeamViewer;TeamViewer 3;c:\programme\TeamViewer3\TeamViewer_Host.exe [2008-01-28 94208]
R2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2004-06-26 6016]
R3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\windows\system32\DRIVERS\Ch2kPS2.sys [2007-01-10 130432]
R3 Ch2kPS2M;Cherry PS/2 Maus Treiber (CDI);c:\windows\system32\DRIVERS\Ch2kPS2M.sys [2007-01-10 54272]
R3 Cherry Device Interface;Cherry Device Interface;c:\programme\Cherry\CDI\cdi.exe [2005-05-30 536622]
R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\DRIVERS\vap.sys [2001-12-14 36188]
R3 PortRW;PortRW;c:\windows\system32\Drivers\PortRW.sys [2003-08-15 3456]
R3 SPC520;Philips SPC520NC PC Camera;c:\windows\system32\drivers\SPC520.sys [2007-03-27 85504]
R3 SPC520m;Philips SPC520NC PC Cameram;c:\windows\system32\drivers\SPC520m.sys [2007-03-27 7680]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\Drivers\auusb.sys [2006-06-15 71184]
S3 int15.sys;int15.sys;c:\programme\acer\erecovery\int15.sys [2004-11-03 69632]
S3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\Drivers\NdisFilt.sys [2004-06-07 5035]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\DRIVERS\PRISMUSB.sys [2003-10-02 666624]
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;c:\windows\system32\DRIVERS\RTL8187.sys [ ]
S3 SjyPkt;SjyPkt;c:\windows\System32\Drivers\SjyPkt.sys [ ]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\Drivers\tausb.sys [2006-06-15 69392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - g:\resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4297881c-41f7-11dd-bcb9-00016ca6e173}]
\Shell\AutoRun\command - F:\PStart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8202d46a-909f-11dd-a13f-00016ca6e173}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
\Shell\Open\command - f:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8202d46b-909f-11dd-a13f-00016ca6e173}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com g:
\Shell\Open\command - g:\resycled\boot.com g:

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Ben\Anwendungsdaten\Mozilla\Firefox\Profiles\3hmsoaxu.default\
FF -: plugin - c:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 14:04:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Norton AntiVirus]
"ImagePath"="\"c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton AntiVirus\" /m \"c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
Zeit der Fertigstellung: 2008-11-12 14:06:20
ComboFix-quarantined-files.txt 2008-11-12 13:06:05

Vor Suchlauf: 22 Verzeichnis(se), 18.801.512.448 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 19,606,675,456 Bytes frei

213 --- E O F --- 2008-09-11 14:50:21


bin gespannt was noch bei rauskommt.

Greetz,
Ben

#6 Download die 30Tage Version von a-squared Antimalware 4 von Emsisoft
Lasse die gefundene Infektionen in die Quarantäne verschieben

http://download4.emsisoft.com/a2AntiMalwareSetup.exe
__________
MfG Argus

#7 so, hab ich auch gemacht.

#8 Poste nochmal ein log von ComboFix
__________
MfG Argus

#9 so, hier das aktuelle ComboFix Log:

Achja, sagst du mir bitte noch was du da siehst das ich es auch check?


ComboFix 08-11-11.01 - Ben 2008-11-13 9:30:24.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.871 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ben\Desktop\Anti Malware\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-13 bis 2008-11-13 ))))))))))))))))))))))))))))))
.

2008-11-13 09:29 . 2008-11-13 09:29 <DIR> drahs---- C:\cmdcons
2008-11-13 09:29 . 2004-08-03 23:00 262,448 --a------ C:\cmldr
2008-11-13 09:29 . 2008-11-13 08:04 194 --a------ C:\Boot.bak
2008-11-13 09:27 . 2008-11-13 09:34 <DIR> d-------- C:\ComboFix
2008-11-13 09:14 . 2008-01-17 11:35 536,634 --------- c:\windows\system32\drivers\Crypto.sys
2008-11-13 09:14 . 2002-12-06 14:42 317,952 -r------- c:\windows\system32\roboex32.dll
2008-11-13 09:14 . 2002-12-06 14:42 207,120 -r------- c:\windows\system32\Msoss.dll
2008-11-13 09:14 . 2008-02-04 14:29 138,296 --a------ c:\windows\system32\drivers\IpSecDrv.sys
2008-11-13 09:14 . 2008-02-04 14:37 28,726 --a------ c:\windows\system32\SnPolicy.dll
2008-11-13 09:14 . 2008-01-17 11:35 136 --a------ c:\windows\system32\IreSC.sig
2008-11-13 09:14 . 2008-01-17 11:35 136 --a------ c:\windows\system32\IreCGX.sig
2008-11-13 09:14 . 2008-01-17 11:35 136 --a------ c:\windows\system32\IreBase.sig
2008-11-13 09:14 . 2008-01-17 11:35 136 --a------ c:\windows\system32\drivers\Crypto.sig
2008-11-13 09:13 . 2008-11-13 09:13 <DIR> d-------- c:\programme\NETGEAR
2008-11-13 08:27 . 2008-11-13 08:27 <DIR> d--hs---- C:\RECYCLER
2008-11-12 16:23 . 2008-11-12 16:37 <DIR> d-------- c:\programme\a-squared Anti-Malware
2008-11-12 15:04 . 2008-09-15 16:24 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2008-11-12 15:04 . 2008-09-08 11:41 333,824 --------- c:\windows\system32\dllcache\srv.sys
2008-11-12 15:03 . 2008-08-14 14:19 2,191,488 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-12 15:03 . 2008-08-14 14:19 2,147,840 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-12 15:03 . 2008-08-14 14:19 2,068,352 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-12 15:03 . 2008-08-14 14:19 2,026,496 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-12 15:03 . 2008-09-04 18:15 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 15:03 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 15:03 . 2008-10-15 17:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2008-11-12 13:59 . 2008-11-13 09:27 <DIR> d-------- C:\Qoobox
2008-11-12 10:17 . 2008-11-12 13:57 <DIR> d-------- c:\programme\Hijack This
2008-11-12 10:13 . 2008-11-12 10:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-12 10:13 . 2008-11-12 10:13 <DIR> d-------- c:\dokumente und einstellungen\Ben\Anwendungsdaten\Malwarebytes
2008-11-12 10:13 . 2008-11-12 10:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-12 10:13 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-12 10:13 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-11 15:35 . 2008-11-11 16:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2008-11-11 15:22 . 2008-11-12 16:51 <DIR> d-------- c:\programme\Norton Support
2008-11-11 10:10 . 2008-11-11 10:09 35,888 -ra------ c:\windows\system32\drivers\SymIM.sys
2008-11-11 10:09 . 2008-11-11 10:09 <DIR> d-------- c:\windows\system32\drivers\NAV
2008-11-11 10:09 . 2008-11-11 10:09 <DIR> d-------- c:\programme\Windows Sidebar
2008-11-11 10:09 . 2008-11-11 15:36 <DIR> d-------- c:\programme\Symantec
2008-11-11 10:09 . 2008-11-11 15:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-11 10:09 . 2008-11-11 10:09 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2008-11-11 10:09 . 2008-11-11 10:09 60,808 --a------ c:\windows\system32\S32EVNT1.DLL
2008-11-11 10:09 . 2008-11-11 10:09 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT
2008-11-11 10:09 . 2008-11-11 10:09 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF
2008-11-11 10:07 . 2008-11-11 10:07 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Lexware
2008-11-11 10:06 . 2008-11-11 10:06 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Cherry
2008-11-11 10:06 . 2008-11-11 10:06 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\ATI
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Vorlagen
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> dr------- c:\dokumente und einstellungen\Admin\Startmenü
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Netzwerkumgebung
2008-11-11 10:05 . 2008-11-13 09:33 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Lokale Einstellungen
2008-11-11 10:05 . 2008-11-11 10:06 <DIR> d---s---- c:\dokumente und einstellungen\Admin\Favoriten
2008-11-11 10:05 . 2008-11-11 10:06 <DIR> d---s---- c:\dokumente und einstellungen\Admin\Eigene Dateien
2008-11-11 10:05 . 2004-10-26 14:43 <DIR> d--h----- c:\dokumente und einstellungen\Admin\Druckumgebung
2008-11-11 10:05 . 2004-10-26 15:11 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Symantec
2008-11-11 10:05 . 2008-11-11 10:07 <DIR> dr-h----- c:\dokumente und einstellungen\Admin\Anwendungsdaten
2008-11-11 08:46 . 1,610,141,696 C:\hiberfil.sys
2008-11-10 12:43 . 2008-11-11 10:09 <DIR> d-------- c:\programme\Norton AntiVirus
2008-11-10 11:37 . 2008-11-10 11:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCSettings
2008-11-10 11:37 . 2008-11-11 10:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2008-11-10 11:36 . 2008-11-10 11:36 <DIR> d-------- c:\programme\NortonInstaller
2008-11-10 11:36 . 2008-11-11 10:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-13 08:33 --------- d-----w c:\dokumente und einstellungen\Ben\Anwendungsdaten\Skype
2008-11-13 07:04 --------- d-----w c:\dokumente und einstellungen\Ben\Anwendungsdaten\skypePM
2008-11-12 14:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2008-10-26 21:21 --------- d-----w c:\dokumente und einstellungen\Ben\Anwendungsdaten\ICQ
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-15 12:53 --------- d-----w c:\programme\DivX
2008-10-12 18:35 --------- d-----w c:\programme\No23 Recorder
2008-10-03 16:58 6,066,176 ----a-w c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-23 03:04 --------- d-----w c:\programme\TeamViewer3
2008-09-22 13:17 2,620 --sha-w c:\windows\system32\KGyGaAvL.sys
2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll
2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-09-15 18:40 --------- d-----w c:\programme\Valve
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-27 08:57 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
2008-08-25 08:38 13,824 ----a-w c:\windows\system32\dllcache\ieudinit.exe
2008-08-25 08:37 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2008-08-23 05:56 635,848 ----a-w c:\windows\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2008-08-14 13:19 2,191,488 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w c:\windows\system32\dllcache\afd.sys
2008-04-09 19:23 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-11-12_14.05.40,98 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-23 16:14:39 124,928 -c----w c:\windows\ie7updates\KB956390-IE7\advpack.dll
+ 2008-06-23 16:14:40 347,136 -c----w c:\windows\ie7updates\KB956390-IE7\dxtmsft.dll
+ 2008-06-23 16:14:40 214,528 -c----w c:\windows\ie7updates\KB956390-IE7\dxtrans.dll
+ 2008-06-23 16:14:40 133,120 -c----w c:\windows\ie7updates\KB956390-IE7\extmgr.dll
+ 2008-06-23 16:14:40 63,488 -c----w c:\windows\ie7updates\KB956390-IE7\icardie.dll
+ 2008-06-23 09:20:01 70,656 -c----w c:\windows\ie7updates\KB956390-IE7\ie4uinit.exe
+ 2008-06-23 16:14:40 153,088 -c----w c:\windows\ie7updates\KB956390-IE7\ieakeng.dll
+ 2008-06-23 16:14:40 230,400 -c----w c:\windows\ie7updates\KB956390-IE7\ieaksie.dll
+ 2008-06-21 05:23:54 161,792 -c----w c:\windows\ie7updates\KB956390-IE7\ieakui.dll
+ 2008-06-23 16:14:40 383,488 -c----w c:\windows\ie7updates\KB956390-IE7\ieapfltr.dll
+ 2008-06-23 16:14:40 384,512 -c----w c:\windows\ie7updates\KB956390-IE7\iedkcs32.dll
+ 2008-06-23 16:14:41 6,066,176 -c----w c:\windows\ie7updates\KB956390-IE7\ieframe.dll
+ 2008-06-23 16:14:41 44,544 -c----w c:\windows\ie7updates\KB956390-IE7\iernonce.dll
+ 2008-06-23 16:14:42 267,776 -c----w c:\windows\ie7updates\KB956390-IE7\iertutil.dll
+ 2008-06-23 09:20:26 13,824 -c----w c:\windows\ie7updates\KB956390-IE7\ieudinit.exe
+ 2008-06-23 09:20:25 625,664 -c----w c:\windows\ie7updates\KB956390-IE7\iexplore.exe
+ 2008-06-23 16:14:42 27,648 -c----w c:\windows\ie7updates\KB956390-IE7\jsproxy.dll
+ 2008-06-23 16:14:42 459,264 -c----w c:\windows\ie7updates\KB956390-IE7\msfeeds.dll
+ 2008-06-23 16:14:42 52,224 -c----w c:\windows\ie7updates\KB956390-IE7\msfeedsbs.dll
+ 2008-06-24 08:14:44 3,592,192 -c----w c:\windows\ie7updates\KB956390-IE7\mshtml.dll
+ 2008-06-23 16:14:44 477,696 -c----w c:\windows\ie7updates\KB956390-IE7\mshtmled.dll
+ 2008-06-23 16:14:44 193,024 -c----w c:\windows\ie7updates\KB956390-IE7\msrating.dll
+ 2008-06-23 16:14:44 671,232 -c----w c:\windows\ie7updates\KB956390-IE7\mstime.dll
+ 2008-06-23 16:14:44 102,912 -c----w c:\windows\ie7updates\KB956390-IE7\occache.dll
+ 2008-06-23 16:14:44 44,544 -c----w c:\windows\ie7updates\KB956390-IE7\pngfilt.dll
+ 2007-03-06 01:14:17 217,312 -c----w c:\windows\ie7updates\KB956390-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:25 377,568 -c----w c:\windows\ie7updates\KB956390-IE7\spuninst\updspapi.dll
+ 2008-06-23 16:14:44 105,984 -c----w c:\windows\ie7updates\KB956390-IE7\url.dll
+ 2008-06-23 16:14:44 1,159,680 -c----w c:\windows\ie7updates\KB956390-IE7\urlmon.dll
+ 2008-06-23 16:14:44 233,472 -c----w c:\windows\ie7updates\KB956390-IE7\webcheck.dll
+ 2008-06-23 16:14:45 826,368 -c----w c:\windows\ie7updates\KB956390-IE7\wininet.dll
+ 2008-11-12 14:27:53 32,768 ----a-r c:\windows\Installer\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}\icon.exe
- 2008-06-23 16:14:39 124,928 ----a-w c:\windows\system32\advpack.dll
+ 2008-08-26 07:57:14 124,928 ----a-w c:\windows\system32\advpack.dll
- 2007-09-27 11:17:00 90,164 ----a-w c:\windows\system32\cmondll.dll
+ 2008-02-04 13:37:10 90,164 ----a-w c:\windows\system32\cmondll.dll
- 2008-11-12 11:08:00 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-11-13 08:14:41 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-11-12 11:08:00 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-11-13 08:14:41 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-11-12 11:08:00 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-11-13 08:14:41 32,768 ----a-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-06-23 16:14:39 124,928 ----a-w c:\windows\system32\dllcache\advpack.dll
+ 2008-08-26 07:57:14 124,928 ----a-w c:\windows\system32\dllcache\advpack.dll
- 2008-06-23 16:14:40 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll
+ 2008-08-26 07:57:15 347,136 ----a-w c:\windows\system32\dllcache\dxtmsft.dll
- 2008-06-23 16:14:40 214,528 ----a-w c:\windows\system32\dllcache\dxtrans.dll
+ 2008-08-26 07:57:15 214,528 ----a-w c:\windows\system32\dllcache\dxtrans.dll
- 2008-06-23 16:14:40 133,120 ----a-w c:\windows\system32\dllcache\extmgr.dll
+ 2008-08-26 07:57:15 133,120 ----a-w c:\windows\system32\dllcache\extmgr.dll
- 2008-06-23 16:14:40 63,488 ----a-w c:\windows\system32\dllcache\icardie.dll
+ 2008-08-26 07:57:15 63,488 ----a-w c:\windows\system32\dllcache\icardie.dll
- 2008-06-23 16:14:40 153,088 ----a-w c:\windows\system32\dllcache\ieakeng.dll
+ 2008-08-26 07:57:15 153,088 ----a-w c:\windows\system32\dllcache\ieakeng.dll
- 2008-06-23 16:14:40 230,400 ----a-w c:\windows\system32\dllcache\ieaksie.dll
+ 2008-08-26 07:57:15 230,400 ----a-w c:\windows\system32\dllcache\ieaksie.dll
- 2008-06-23 16:14:40 383,488 ----a-w c:\windows\system32\dllcache\ieapfltr.dll
+ 2008-08-26 07:57:15 383,488 ----a-w c:\windows\system32\dllcache\ieapfltr.dll
- 2008-06-23 16:14:40 384,512 ----a-w c:\windows\system32\dllcache\iedkcs32.dll
+ 2008-08-26 07:57:15 384,512 ----a-w c:\windows\system32\dllcache\iedkcs32.dll
- 2008-06-23 16:14:41 44,544 ----a-w c:\windows\system32\dllcache\iernonce.dll
+ 2008-08-26 07:57:18 44,544 ----a-w c:\windows\system32\dllcache\iernonce.dll
- 2008-06-23 16:14:42 267,776 ----a-w c:\windows\system32\dllcache\iertutil.dll
+ 2008-08-26 07:57:18 267,776 ----a-w c:\windows\system32\dllcache\iertutil.dll
- 2008-06-23 16:14:42 27,648 ----a-w c:\windows\system32\dllcache\jsproxy.dll
+ 2008-08-26 07:57:18 27,648 ----a-w c:\windows\system32\dllcache\jsproxy.dll
- 2008-06-23 16:14:42 459,264 ----a-w c:\windows\system32\dllcache\msfeeds.dll
+ 2008-08-26 07:57:19 459,264 ----a-w c:\windows\system32\dllcache\msfeeds.dll
- 2008-06-23 16:14:42 52,224 ----a-w c:\windows\system32\dllcache\msfeedsbs.dll
+ 2008-08-26 07:57:19 52,224 ----a-w c:\windows\system32\dllcache\msfeedsbs.dll
- 2008-06-23 16:14:44 477,696 ----a-w c:\windows\system32\dllcache\mshtmled.dll
+ 2008-08-26 07:57:21 477,696 ----a-w c:\windows\system32\dllcache\mshtmled.dll
- 2008-06-23 16:14:44 193,024 ----a-w c:\windows\system32\dllcache\msrating.dll
+ 2008-08-26 07:57:21 193,024 ----a-w c:\windows\system32\dllcache\msrating.dll
- 2008-06-23 16:14:44 671,232 ----a-w c:\windows\system32\dllcache\mstime.dll
+ 2008-08-26 07:57:21 671,232 ----a-w c:\windows\system32\dllcache\mstime.dll
- 2008-06-23 16:14:44 102,912 ----a-w c:\windows\system32\dllcache\occache.dll
+ 2008-08-26 07:57:21 102,912 ----a-w c:\windows\system32\dllcache\occache.dll
- 2008-06-23 16:14:44 44,544 ----a-w c:\windows\system32\dllcache\pngfilt.dll
+ 2008-08-26 07:57:21 44,544 ----a-w c:\windows\system32\dllcache\pngfilt.dll
- 2008-06-23 16:14:44 105,984 ----a-w c:\windows\system32\dllcache\url.dll
+ 2008-08-26 07:57:21 105,984 ----a-w c:\windows\system32\dllcache\url.dll
- 2008-06-23 16:14:44 1,159,680 ----a-w c:\windows\system32\dllcache\urlmon.dll
+ 2008-08-26 07:57:22 1,159,680 ----a-w c:\windows\system32\dllcache\urlmon.dll
- 2008-06-23 16:14:44 233,472 ----a-w c:\windows\system32\dllcache\webcheck.dll
+ 2008-08-26 07:57:22 233,472 ----a-w c:\windows\system32\dllcache\webcheck.dll
- 2008-06-23 16:14:45 826,368 ----a-w c:\windows\system32\dllcache\wininet.dll
+ 2008-08-26 07:57:22 826,368 ----a-w c:\windows\system32\dllcache\wininet.dll
- 2008-06-20 11:40:08 138,496 ----a-w c:\windows\system32\drivers\afd.sys
+ 2008-08-14 10:04:36 138,496 ----a-w c:\windows\system32\drivers\afd.sys
- 2008-04-13 22:45:12 334,848 ----a-w c:\windows\system32\drivers\srv.sys
+ 2008-09-08 10:41:42 333,824 ----a-w c:\windows\system32\drivers\srv.sys
- 2001-12-14 14:26:06 36,188 ----a-w c:\windows\system32\drivers\vap.sys
+ 2008-01-02 15:48:32 29,184 ----a-w c:\windows\system32\drivers\vap.sys
- 2008-06-23 16:14:40 347,136 ----a-w c:\windows\system32\dxtmsft.dll
+ 2008-08-26 07:57:15 347,136 ----a-w c:\windows\system32\dxtmsft.dll
- 2008-06-23 16:14:40 214,528 ----a-w c:\windows\system32\dxtrans.dll
+ 2008-08-26 07:57:15 214,528 ----a-w c:\windows\system32\dxtrans.dll
- 2008-06-23 16:14:40 133,120 ----a-w c:\windows\system32\extmgr.dll
+ 2008-08-26 07:57:15 133,120 ----a-w c:\windows\system32\extmgr.dll
- 2008-06-14 14:56:18 1,661,488 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2008-11-12 14:34:19 1,661,488 ----a-w c:\windows\system32\FNTCACHE.DAT
- 2008-06-23 16:14:40 63,488 ----a-w c:\windows\system32\icardie.dll
+ 2008-08-26 07:57:15 63,488 ----a-w c:\windows\system32\icardie.dll
- 2008-06-23 09:20:01 70,656 ----a-w c:\windows\system32\ie4uinit.exe
+ 2008-08-25 08:37:31 70,656 ----a-w c:\windows\system32\ie4uinit.exe
- 2008-06-23 16:14:40 153,088 ----a-w c:\windows\system32\ieakeng.dll
+ 2008-08-26 07:57:15 153,088 ----a-w c:\windows\system32\ieakeng.dll
- 2008-06-23 16:14:40 230,400 ----a-w c:\windows\system32\ieaksie.dll
+ 2008-08-26 07:57:15 230,400 ----a-w c:\windows\system32\ieaksie.dll
- 2008-06-21 05:23:54 161,792 ----a-w c:\windows\system32\ieakui.dll
+ 2008-08-23 05:54:51 161,792 ----a-w c:\windows\system32\ieakui.dll
- 2008-06-23 16:14:40 383,488 ----a-w c:\windows\system32\ieapfltr.dll
+ 2008-08-26 07:57:15 383,488 ----a-w c:\windows\system32\ieapfltr.dll
- 2008-06-23 16:14:40 384,512 ----a-w c:\windows\system32\iedkcs32.dll
+ 2008-08-26 07:57:15 384,512 ----a-w c:\windows\system32\iedkcs32.dll
- 2008-06-23 16:14:41 6,066,176 ----a-w c:\windows\system32\ieframe.dll
+ 2008-10-03 16:58:14 6,066,176 ----a-w c:\windows\system32\ieframe.dll
- 2008-06-23 16:14:41 44,544 ----a-w c:\windows\system32\iernonce.dll
+ 2008-08-26 07:57:18 44,544 ----a-w c:\windows\system32\iernonce.dll
- 2008-06-23 16:14:42 267,776 ----a-w c:\windows\system32\iertutil.dll
+ 2008-08-26 07:57:18 267,776 ----a-w c:\windows\system32\iertutil.dll
- 2008-06-23 09:20:26 13,824 ----a-w c:\windows\system32\ieudinit.exe
+ 2008-08-25 08:38:00 13,824 ----a-w c:\windows\system32\ieudinit.exe
- 2005-08-15 07:27:30 155,708 ------w c:\windows\system32\IreBase.dll
+ 2008-01-17 10:35:42 159,804 ------w c:\windows\system32\IreBase.dll
- 2005-08-15 07:27:30 344,122 ------w c:\windows\system32\IreCGX.dll
+ 2008-01-17 10:35:42 344,122 ------w c:\windows\system32\IreCGX.dll
- 2007-09-27 11:16:58 229,430 ----a-w c:\windows\system32\IreComn.dll
+ 2008-02-04 13:37:10 229,430 ----a-w c:\windows\system32\IreComn.dll
- 2007-09-27 11:17:04 344,116 ----a-w c:\windows\system32\IreMgmt.dll
+ 2008-02-04 13:37:12 344,116 ----a-w c:\windows\system32\IreMgmt.dll
- 2005-08-15 07:27:30 90,166 ------w c:\windows\system32\IreSC.dll
+ 2008-01-17 10:35:42 90,166 ------w c:\windows\system32\IreSC.dll
- 2008-06-23 16:14:42 27,648 ----a-w c:\windows\system32\jsproxy.dll
+ 2008-08-26 07:57:18 27,648 ----a-w c:\windows\system32\jsproxy.dll
- 2008-08-26 20:28:12 16,208,504 ----a-w c:\windows\system32\MRT.exe
+ 2008-11-03 15:10:26 17,318,336 ----a-w c:\windows\system32\MRT.exe
- 2008-06-23 16:14:42 459,264 ----a-w c:\windows\system32\msfeeds.dll
+ 2008-08-26 07:57:19 459,264 ----a-w c:\windows\system32\msfeeds.dll
- 2008-06-23 16:14:42 52,224 ----a-w c:\windows\system32\msfeedsbs.dll
+ 2008-08-26 07:57:19 52,224 ----a-w c:\windows\system32\msfeedsbs.dll
- 2008-06-24 08:14:44 3,592,192 ----a-w c:\windows\system32\mshtml.dll
+ 2008-08-27 08:57:22 3,593,216 ----a-w c:\windows\system32\mshtml.dll
- 2008-06-23 16:14:44 477,696 ----a-w c:\windows\system32\mshtmled.dll
+ 2008-08-26 07:57:21 477,696 ----a-w c:\windows\system32\mshtmled.dll
- 2008-06-23 16:14:44 193,024 ----a-w c:\windows\system32\msrating.dll
+ 2008-08-26 07:57:21 193,024 ----a-w c:\windows\system32\msrating.dll
- 2008-06-23 16:14:44 671,232 ----a-w c:\windows\system32\mstime.dll
+ 2008-08-26 07:57:21 671,232 ----a-w c:\windows\system32\mstime.dll
- 2008-04-14 05:52:20 337,408 ----a-w c:\windows\system32\netapi32.dll
+ 2008-10-15 16:35:02 337,408 ----a-w c:\windows\system32\netapi32.dll
- 2008-06-23 16:14:44 102,912 ----a-w c:\windows\system32\occache.dll
+ 2008-08-26 07:57:21 102,912 ----a-w c:\windows\system32\occache.dll
- 2008-06-23 16:14:44 44,544 ----a-w c:\windows\system32\pngfilt.dll
+ 2008-08-26 07:57:21 44,544 ----a-w c:\windows\system32\pngfilt.dll
- 2007-11-30 12:39:14 18,808 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 11:18:34 18,808 ------w c:\windows\system32\spmsg.dll
- 2008-06-23 16:14:44 105,984 ----a-w c:\windows\system32\url.dll
+ 2008-08-26 07:57:21 105,984 ----a-w c:\windows\system32\url.dll
- 2008-06-23 16:14:44 1,159,680 ----a-w c:\windows\system32\urlmon.dll
+ 2008-08-26 07:57:22 1,159,680 ----a-w c:\windows\system32\urlmon.dll
- 2008-06-23 16:14:44 233,472 ----a-w c:\windows\system32\webcheck.dll
+ 2008-08-26 07:57:22 233,472 ----a-w c:\windows\system32\webcheck.dll
- 2008-06-23 16:14:45 826,368 ----a-w c:\windows\system32\wininet.dll
+ 2008-08-26 07:57:22 826,368 ----a-w c:\windows\system32\wininet.dll
+ 2008-11-13 08:17:47 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7d0.dat
+ 2008-09-30 15:42:08 1,286,152 ----a-w c:\windows\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9870.0_x-ww_a32d74cf\msxml4.dll
+ 2008-09-30 15:45:12 91,656 ----a-w c:\windows\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.1.1.0_x-ww_2a41bceb\msxml4r.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-03-03 172280]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"MPS"="c:\acer\PSM.EXE" [2004-03-04 372736]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ADMTray.exe"="c:\programme\Acer\eManager\admtray.exe" [2004-10-11 1393664]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"CherryKeyMan"="c:\programme\Cherry\KeyMan\KeyMan.exe" [2007-04-03 237620]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Ben\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AlarmS4.lnk - c:\windows\system32\AlarmS4.exe [2003-08-19 241664]
Lexware Info Service.lnk - c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2006-10-27 2732584]
NETGEAR ProSafe VPN Client.lnk - c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2008-11-13 77876]
VPro520.lnk - c:\windows\VPro520.exe [2007-11-16 73728]
VR-NetWorld Auftragspr�fung.lnk - c:\programme\VR-NetWorld\vrtoolcheckorder.exe [2007-12-04 548864]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.GTC2"= gtcodec2.DLL
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2004-11-03 09:09 245760 c:\windows\system32\Check.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\IreIKE.exe"=
"c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe"= c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe:127.0.0.1/255.255.255.255:Enabled:ViewLog
"c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe"= c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe:127.0.0.1/255.255.255.255:Enabled:CMonApp
"c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe"= c:\programme\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe:127.0.0.1/255.255.255.255:Enabled:VPN Connection Manager

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1000000.07D\SYMEFA.SYS [2008-11-11 309296]
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NAV\1000000.07D\BHDrvx86.sys [2008-11-11 254512]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1000000.07D\ccHPx86.sys [2008-11-11 362544]
R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20080826.006\IDSxpx86.sys [2008-11-11 274808]
R1 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\Drivers\IPSECDRV.sys [2008-02-04 138296]
R2 Crypto;Crypto;c:\windows\system32\Drivers\Crypto.sys [2008-01-17 536634]
R2 Norton AntiVirus;Norton AntiVirus;c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe /s Norton AntiVirus /m c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\diMaster.dll [ ]
R2 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2004-07-16 9901]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2004-09-20 10363]
R2 TeamViewer;TeamViewer 3;c:\programme\TeamViewer3\TeamViewer_Host.exe [2008-01-28 94208]
R2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2004-06-26 6016]
R3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\windows\system32\DRIVERS\Ch2kPS2.sys [2007-01-10 130432]
R3 Ch2kPS2M;Cherry PS/2 Maus Treiber (CDI);c:\windows\system32\DRIVERS\Ch2kPS2M.sys [2007-01-10 54272]
R3 Cherry Device Interface;Cherry Device Interface;c:\programme\Cherry\CDI\cdi.exe [2005-05-30 536622]
R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\DRIVERS\vap.sys [2008-01-02 29184]
R3 PortRW;PortRW;c:\windows\system32\Drivers\PortRW.sys [2003-08-15 3456]
R3 SPC520;Philips SPC520NC PC Camera;c:\windows\system32\drivers\SPC520.sys [2007-03-27 85504]
R3 SPC520m;Philips SPC520NC PC Cameram;c:\windows\system32\drivers\SPC520m.sys [2007-03-27 7680]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\Drivers\auusb.sys [2006-06-15 71184]
S3 int15.sys;int15.sys;c:\programme\acer\erecovery\int15.sys [2004-11-03 69632]
S3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\Drivers\NdisFilt.sys [2004-06-07 5035]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\DRIVERS\PRISMUSB.sys [2003-10-02 666624]
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;c:\windows\system32\DRIVERS\RTL8187.sys [ ]
S3 SjyPkt;SjyPkt;c:\windows\System32\Drivers\SjyPkt.sys [ ]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\Drivers\tausb.sys [2006-06-15 69392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - g:\resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4297881c-41f7-11dd-bcb9-00016ca6e173}]
\Shell\AutoRun\command - F:\PStart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8202d46a-909f-11dd-a13f-00016ca6e173}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
\Shell\Open\command - f:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8202d46b-909f-11dd-a13f-00016ca6e173}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com g:
\Shell\Open\command - g:\resycled\boot.com g:

*Newly Created Service* - IPSECDRV
*Newly Created Service* - IPSECMON
*Newly Created Service* - IREIKE
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Ben\Anwendungsdaten\Mozilla\Firefox\Profiles\3hmsoaxu.default\
FF -: plugin - c:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 09:33:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Norton AntiVirus]
"ImagePath"="\"c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton AntiVirus\" /m \"c:\programme\Norton AntiVirus\Norton AntiVirus\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"
.
Zeit der Fertigstellung: 2008-11-13 9:36:38
ComboFix-quarantined-files.txt 2008-11-13 08:35:28
ComboFix2.txt 2008-11-12 13:06:21

Vor Suchlauf: 23 Verzeichnis(se), 19.397.795.840 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 19,407,499,264 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

433 --- E O F --- 2008-11-12 14:32:04

#10 cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8202d46a-909f-11dd-a13f-00016ca6e173}]

File::
g:\resycled\boot.com
g:\autorun.inf
f:\resycled\boot.com
f:\autorun.inf
C:\resycled\boot.com
C:\autorun.inf

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus