Home » Spyware & Browser Hijacker Support Forum » Google-Umleitung & Ausführen0von Anti-Virenprogs nicht möglich » Themenansicht

Google-Umleitung & Ausführen0von Anti-Virenprogs nicht möglich
#0
28.11.2008, 17:44
TNM
...neu hier

Beiträge: 4
#1 Angefangen hat alles damit dass ich bei der Google-Suche plötzlich auf fremde Seiten umgeleitet wurde (Porno, leere Seiten usw.). Betrifft aber nur Google, Altavista-Suche funktioniert.
Zudem ist Firefox extrem langsam, auch nach kompletter Neuinstallation von Firefox (registry-Daten gelöscht usw.) immer noch selbes Problem.

Nachdem ich mich hier im Forum schlau gemacht habe wollte ich vorgeschlagene Programme ausführen (mbam, combofix), allerdings kann ich jetzt weder Spybot noch mbam oder combofix auf meinem Rechner ausführen. Er ignoriert meinen Befehl einfach und nichts passiert.

Ich sehe auch keinen fremden Prozess im Taskmanager, AntiVir funktioniert, zeigt aber nichts an.

Ich weiss nicht mehr weiter, als letztes Mittel bleibt mir nur noch ein Formatieren.

Vorschläge? Dankeschön.

UPDATE: nachdem ich Windows nochmal auf Updates prüfen hab lassen war da auch noch der Download vom letztmonatigen Malware-Removal Tool von Windows offen. Installiert, Neustart, und plötzlich konnte ich Malwarebytes installieren und ausführen.
Promt wurden Infektionen gefunden, nach 3 Durchläufen alle behobem (tdl*.* infektion).

Links in Google funktionieren wieder, jetzt werd ich der Sache noch näher auf den Grund gehen müssen ob Reste übrig sind, ansonsten werde ich sicherheitshalber trotzdem neu formatieren. So tief im System hatte ich noch nichts.

EDIT: bisher hat nur hijackthis funktioniert:

Logfile of HijackThis v1.99.1
Scan saved at 17:47:31, on 28.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\UltraMon\UltraMon.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ASUS\Six Engine\SixEngine.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
D:\Programme\MagicDisc\MagicDisc.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Download\Programme\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ultramon] "D:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [sunjavaupdatesched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [startccc] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [six engine] "C:\Programme\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [rivatunerstartupdaemon] "C:\Programme\RivaTuner v2.11\RivaTuner.exe" /S
O4 - HKLM\..\Run: [quicktime task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [qfan help] "C:\Programme\ASUS\AI Suite\QFan3\QFanHelp.exe"
O4 - HKLM\..\Run: [pwrisovm.exe] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [nerofiltercheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [logitech utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [launch lgdcore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [kernelfaultcheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [incd] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [groovemonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [freepdf assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ctxfihlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [cthelper] CTHELPER.EXE
O4 - HKLM\..\Run: [cpu level up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ai nap] "C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [adobe reader speed launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [spybotsd teatimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msmsgs] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 2D-cool.lnk = ?
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MagicDisc.lnk = D:\Programme\MagicDisc\MagicDisc.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Download with GetRight Pro - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187018268093
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Dieser Beitrag wurde am 28.11.2008 um 20:24 Uhr von TNM editiert.
Seitenanfang Seitenende
29.11.2008, 10:22
raman
Moderator

Beiträge: 7805
#2 Nutze noch Combofix, das wird dir noch einges mehr zeigen koennen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2008, 14:50
TNM
...neu hier

Themenstarter

Beiträge: 4
#3

Zitat

raman postete
Nutze noch Combofix, das wird dir noch einges mehr zeigen koennen.
Habe jetzt combofix durchlaufen lassen, hat noch 2 Dateien gelöscht (eine davon tdl*.*)

Status ist: kann alle Programme wieder installieren/ausführen, komme wieder auf die richtigen Google Links sowie Antivirus Homepages.

Noch andere Programme die ich durchlaufen lassen sollte?

Habe jetzt folgendes gemacht:
-Antivir
- Spybot
- Malwarebytes
- Combofix

Derzeit wird nichts verdächtiges mehr angezeigt.

Gibts noch andere Tools?
Seitenanfang Seitenende
29.11.2008, 15:12
raman
Moderator

Beiträge: 7805
#4 Ich wuerde mir den CF Report gerne ansehen....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2008, 15:30
TNM
...neu hier

Themenstarter

Beiträge: 4
#5

Zitat

raman postete
Ich wuerde mir den CF Report gerne ansehen....
Gerne, hab ich noch nicht gelöscht:

ComboFix 08-11-27.07 - TNM 2008-11-28 20:36:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2815 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\TNM\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\mlwdbmrj.ini
c:\windows\system32\TDSSxyyi.dat
c:\windows\system32\tvcsgwut.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE
-------\Legacy_tdssserv.sys
-------\Service_tdssserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-28 ))))))))))))))))))))))))))))))
.

2008-11-28 20:00 . 2008-11-28 20:00 61,440 --a------ c:\windows\system32\drivers\fkyv.sys
2008-11-28 19:57 . 2008-11-28 19:57 <DIR> d-------- c:\dokumente und einstellungen\TNM\Anwendungsdaten\Malwarebytes
2008-11-28 19:32 . 2008-11-28 19:32 127 --a------ c:\windows\system32\MRT.INI
2008-11-28 19:23 . 2008-11-28 19:25 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-28 19:23 . 2008-11-28 19:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-28 19:23 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-28 19:23 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-28 18:09 . 2008-08-14 14:42 2,182,656 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-28 18:09 . 2008-08-14 14:42 2,138,624 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-28 18:09 . 2008-08-14 14:42 2,060,032 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-28 18:09 . 2008-08-14 14:42 2,018,304 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-28 15:57 . 2008-11-28 20:38 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-11-26 09:51 . 2008-11-26 09:51 36,864 --a------ c:\windows\system32\wintuh32.dll
2008-11-25 20:03 . 2008-11-27 12:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited
2008-11-21 15:19 . 2008-11-28 06:37 <DIR> d-------- c:\dokumente und einstellungen\TNM\Anwendungsdaten\uTorrent
2008-11-17 20:35 . 2008-05-15 02:25 106,496 --a------ c:\windows\system32\atinppt2.ax
2008-11-13 16:06 . 2008-09-19 22:57 120,056 --------- c:\windows\system32\pxcpyi64.exe
2008-11-13 16:06 . 2008-09-19 22:57 118,520 --------- c:\windows\system32\pxinsi64.exe
2008-11-12 06:30 . 2007-11-14 20:48 84,992 -ra------ c:\windows\system32\drivers\AtiHdmi.sys
2008-11-11 15:20 . 2008-11-11 15:20 <DIR> d-------- c:\programme\RivaTuner v2.11
2008-11-11 13:45 . 2008-11-11 13:45 <DIR> d-------- c:\windows\system32\Futuremark
2008-11-11 13:45 . 2007-09-07 14:55 27,672 --a------ c:\windows\system32\drivers\Entech.sys
2008-11-11 13:45 . 2007-09-07 14:55 12,744 --a------ c:\windows\system32\drivers\Entech64.sys
2008-11-11 13:45 . 2007-09-07 14:55 6,173 --a------ c:\windows\system32\drivers\Entech.vxd
2008-11-11 13:45 . 2001-11-19 20:05 3,972 --a------ c:\windows\system32\drivers\PciBus.sys
2008-11-11 13:10 . 2008-11-11 13:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-11-11 13:08 . 2008-11-28 20:38 64,900 --a------ c:\windows\system32\DVCState-{00000005-00000000-00000000-00001102-00000005-00211102}.rfx
2008-11-11 13:08 . 2008-11-28 20:38 55,184 --a------ c:\windows\system32\BMXStateBkp-{00000005-00000000-00000000-00001102-00000005-00211102}.rfx
2008-11-11 13:08 . 2008-11-28 20:38 55,184 --a------ c:\windows\system32\BMXState-{00000005-00000000-00000000-00001102-00000005-00211102}.rfx
2008-11-11 13:07 . 2008-09-23 21:05 593,920 --------- c:\windows\system32\ati2sgag.exe
2008-11-11 13:06 . 2008-11-11 13:06 <DIR> d-------- C:\ATI
2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx0c.dll
2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx07.dll
2008-10-28 23:35 . 2008-10-28 23:35 815,104 --a------ c:\windows\system32\divx_xx0a.dll
2008-10-28 23:35 . 2008-10-28 23:35 802,816 --a------ c:\windows\system32\divx_xx11.dll
2008-10-28 23:35 . 2008-10-28 23:35 729,088 --a------ c:\windows\system32\divxdec.ax
2008-10-28 23:35 . 2008-10-28 23:35 684,032 --a------ c:\windows\system32\DivX.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-28 19:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-28 14:11 --------- d-----w c:\dokumente und einstellungen\TNM\Anwendungsdaten\Skype
2008-11-27 13:33 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-27 10:43 --------- d-----w c:\programme\SpeedFan
2008-11-26 09:09 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-20 15:14 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-17 10:13 --------- d-----w c:\dokumente und einstellungen\TNM\Anwendungsdaten\EVEMon
2008-11-13 15:06 --------- d-----w c:\programme\DivX
2008-11-11 12:07 --------- d-----w c:\programme\ATI Technologies
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-15 11:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-05 16:30 671,724 ----a-w c:\windows\unins000.exe
2008-09-02 23:59 22,328 ----a-w c:\dokumente und einstellungen\TNM\Anwendungsdaten\PnkBstrK.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spybotsd teatimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"msmsgs"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ultramon"="d:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"sunjavaupdatesched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"startccc"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"six engine"="c:\programme\ASUS\Six Engine\SixEngine.exe" [2008-05-14 5958656]
"rivatunerstartupdaemon"="c:\programme\RivaTuner v2.11\RivaTuner.exe" [2008-09-16 2715648]
"quicktime task"="c:\programme\QuickTime\qttask.exe" [2007-06-29 286720]
"qfan help"="c:\programme\ASUS\AI Suite\QFan3\QFanHelp.exe" [2008-05-06 594432]
"pwrisovm.exe"="c:\programme\PowerISO\PWRISOVM.EXE" [2007-01-20 200704]
"nerofiltercheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"launch lgdcore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400]
"incd"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2005-10-20 871936]
"groovemonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"freepdf assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"cpu level up help"="c:\programme\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ai nap"="c:\programme\ASUS\AI Suite\AiNap\AiNap.exe" [2008-05-09 1423360]
"adobe reader speed launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"logitech utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]
"ctxfihlp"="CTXFIHLP.EXE" [2006-05-24 c:\windows\system32\CTXFIHLP.EXE]
"cthelper"="CTHELPER.EXE" [2006-05-24 c:\windows\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\TNM\Startmen\Programme\Autostart\
2D-cool.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLI.exe [2007-07-17 49152]
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
MagicDisc.lnk - d:\programme\MagicDisc\MagicDisc.exe [2008-07-11 547840]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2007-08-13 155648]
WG111v2 Smart Wizard Wireless Setting.lnk - c:\programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2008-06-19 745472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8osxx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\isuspm startup]
--a------ 2005-08-11 15:30 249856 c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\isusscheduler]
--a------ 2005-08-11 15:30 81920 c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updreg]
--------- 2000-05-11 00:00 90112 c:\windows\Updreg.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Games\\Civ4\\Civilization4.exe"=
"d:\\Games\\Civ4\\Warlords\\Civ4Warlords.exe"=
"d:\\Games\\Civ4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Games\\EVE-Testserver\\bin\\ExeFile.exe"=
"d:\\Programme\\mIRC\\mirc.exe"=
"d:\\Games\\Civ4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"d:\\Games\\Civ4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"d:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"d:\\Games\\EVEv2_1610\\bin\\ExeFile.exe"=
"d:\\Games\\EVEv2_43\\bin\\ExeFile.exe"=
"d:\\Bittorrent\\utorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2008-06-19 150568]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [2005-06-28 16640]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2007-08-13 66048]
R2 UltraMonUtility;UltraMon Utility Driver;\??\c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-11-12 84992]
R3 ha20x2k;Creative 20X HAL Driver;c:\windows\system32\drivers\ha20x2k.sys [2006-05-24 1110016]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 3584]
S1 bd9d0299;bd9d0299;c:\windows\system32\drivers\bd9d0299.sys []
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\TNM\LOKALE~1\Temp\ALSysIO.sys []
S3 ati8osxx;ati8osxx;\??\c:\windows\System32\drivers\ati8osxx.sys []
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2008-06-19 167808]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e5e939b-3e30-11dd-b274-806d6172696f}]
\Shell\AutoRun\command - e:\.\Bin\Assetup.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\programme\Malwarebytes' Anti-Malware\mbam.exe
MSConfigStartUp-SystemOptimizer - c:\windows\system32\jrmbdwlm.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\TNM\Anwendungsdaten\Mozilla\Firefox\Profiles\yvu464bh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.gmx.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-28 20:39:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\DVDRAMSV.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\wscntfy.exe
d:\programme\UltraMon\UltraMonTaskbar.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\CTXFISPI.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-28 20:41:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-28 19:41:20

Vor Suchlauf: 16 Verzeichnis(se), 16.136.134.656 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 16,103,809,024 Bytes frei

206 --- E O F --- 2008-11-28 18:34:47
Seitenanfang Seitenende
29.11.2008, 16:17
raman
Moderator

Beiträge: 7805
#6 Pruefe bitte
c:\windows\system32\drivers\fkyv.sys (Datei kann nun anders heissen, ist aber ide neuste in dem Ordner mit der groesse 61440)
c:\windows\system32\wintuh32.dll



bei Virustotal und poste die Links zu den Ergebnissen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2008, 16:56
TNM
...neu hier

Themenstarter

Beiträge: 4
#7 Dein Verdacht schein berechtigt:

c:\windows\system32\drivers\fkyv.sys

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.29 Win-Trojan/Avenger.61440
AntiVir 7.9.0.36 2008.11.28 -
Authentium 5.1.0.4 2008.11.28 -
Avast 4.8.1281.0 2008.11.28 -
AVG 8.0.0.199 2008.11.29 -
BitDefender 7.2 2008.11.29 -
CAT-QuickHeal 10.00 2008.11.29 -
ClamAV 0.94.1 2008.11.29 -
DrWeb 4.44.0.09170 2008.11.29 -
eSafe 7.0.17.0 2008.11.27 Hoax.Win32.Agent.fu
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.29 -
F-Prot 4.4.4.56 2008.11.28 -
F-Secure 8.0.14332.0 2008.11.29 -
Fortinet 3.117.0.0 2008.11.29 PossibleThreat
GData 19 2008.11.29 -
Ikarus T3.1.1.45.0 2008.11.29 -
K7AntiVirus 7.10.538 2008.11.29 Trojan.Win32.Malware.2
Kaspersky 7.0.0.125 2008.11.29 -
McAfee 5448 2008.11.28 -
McAfee+Artemis 5448 2008.11.28 -
Microsoft 1.4104 2008.11.29 -
NOD32 3650 2008.11.28 -
Norman 5.80.02 2008.11.28 W32/Agent.HHSF
Panda 9.0.0.4 2008.11.29 Trj/Downloader.MDW
PCTools 4.4.2.0 2008.11.29 -
Prevx1 V2 2008.11.29 Malicious Software
Rising 21.05.52.00 2008.11.29 -
SecureWeb-Gateway 6.7.6 2008.11.28 -
Sophos 4.36.0 2008.11.29 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.29 -
TheHacker 6.3.1.1.166 2008.11.28 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.28 -
ViRobot 2008.11.29.1492 2008.11.29 Hoax..Agent.61440
VirusBuster 4.5.11.0 2008.11.28 -
weitere Informationen
File size: 61440 bytes
MD5...: 589312a3b46721c5a751e4d5222a89be
SHA1..: 3a497d3968a4f6e3c648d196da38e5f98e75ec30
SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae
SHA512: c8abe050c97efe34541c3ef293a750e34b82117ae41f41d83db1f1489eb5d776
a1d59d0b4a1e13536e5bebda630693daf4be66cc386f587a69288c76df98cf7b
ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1d394
timedatestamp.....: 0x476b398b (Fri Dec 21 03:56:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xd756 0xd780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xdb80 0x10e 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xdd00 0xc0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xde00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xe180 0xe2c 0xe80 6.60 4f845320301140370066cbceee4c5e4c

( 1 imports )
> ntoskrnl.exe: ZwWriteFile, wcslen, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, wcscat, wcscpy, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePoolWithTag, RtlPrefixUnicodeString, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwOpenFile, ZwSetInformationFile, KeTickCount, ZwQueryInformationFile, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be' target='_blank'>http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=589312a3b46721c5a751e4d5222a89be' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=589312a3b46721c5a751e4d5222a89be</a>


c:\windows\system32\wintuh32.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.29 -
AntiVir 7.9.0.36 2008.11.28 -
Authentium 5.1.0.4 2008.11.28 -
Avast 4.8.1281.0 2008.11.28 -
AVG 8.0.0.199 2008.11.29 Downloader.Zlob_r.EH
BitDefender 7.2 2008.11.29 Trojan.Downloader.JLIQ
CAT-QuickHeal 10.00 2008.11.29 -
ClamAV 0.94.1 2008.11.29 -
DrWeb 4.44.0.09170 2008.11.29 -
eSafe 7.0.17.0 2008.11.27 -
eTrust-Vet 31.6.6234 2008.11.28 -
Ewido 4.0 2008.11.29 -
F-Prot 4.4.4.56 2008.11.28 -
F-Secure 8.0.14332.0 2008.11.29 Trojan-Downloader.Win32.FraudLoad.vdts
Fortinet 3.117.0.0 2008.11.29 -
GData 19 2008.11.29 Trojan.Downloader.JLIQ
Ikarus T3.1.1.45.0 2008.11.29 -
K7AntiVirus 7.10.538 2008.11.29 -
Kaspersky 7.0.0.125 2008.11.29 Trojan-Downloader.Win32.FraudLoad.vdts
McAfee 5448 2008.11.28 -
McAfee+Artemis 5448 2008.11.28 -
Microsoft 1.4104 2008.11.29 Trojan:Win32/Nebuler.gen!G
NOD32 3650 2008.11.28 -
Norman 5.80.02 2008.11.28 -
Panda 9.0.0.4 2008.11.29 -
PCTools 4.4.2.0 2008.11.29 -
Prevx1 V2 2008.11.29 -
Rising 21.05.52.00 2008.11.29 Trojan.DL.Win32.Undef.ann
SecureWeb-Gateway 6.7.6 2008.11.28 -
Sophos 4.36.0 2008.11.29 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.29 -
TheHacker 6.3.1.1.166 2008.11.28 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.28 -
ViRobot 2008.11.29.1492 2008.11.29 -
VirusBuster 4.5.11.0 2008.11.28 -
weitere Informationen
File size: 36864 bytes
MD5...: 1444bf5020c28ebb45586c1614c93f3b
SHA1..: 58a8c68231ee9de3ce0d735b778e56a374f0e9c2
SHA256: ad68ee50c7319aaaa3582418a8a19ea9a554cff5499722d2c3c80510ee3efb10
SHA512: a7d8dd5ab58a83c31c32b8fe81521ef10499d6386c5eee20bd74ebea1e9234bd
8a7d08f2888d7e09ddaefcf8c972040f30c0caa648e8d8535c740a37058b0583
ssdeep: 768:EbBw0jbKKY4cJbs3isZ46jGVwwicsZEa0WXBmScOC5tOlf:Eb66bKKY4cJct
e6jGhiJEcPcOHl
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001090
timedatestamp.....: 0x4928a291 (Sun Nov 23 00:23:45 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6e66 0x7000 6.15 84cdd95c446491dcdd323609d7090f68
.rdata 0x8000 0xd81 0xe00 5.11 a710a9268a7edafcf6a81dbc94a12add
.data 0x9000 0x35a4 0x600 5.81 217371aefbfff8b374163bc74f90862c
.reloc 0xd000 0x7bc 0x800 6.09 981c0882661042d0a057a66900e677cc

( 4 imports )
> KERNEL32.dll: GetLocalTime, FindAtomA, GetModuleFileNameA, CreateMutexA, CloseHandle, GetVersion, GetTempPathA, GetSystemTime, CreateThread, GetFileSize, lstrcmpA, GetLocaleInfoA, MoveFileExA, FreeLibrary, SystemTimeToFileTime, SetEvent, VirtualFree, GetWindowsDirectoryA, OpenProcess, GetVolumeInformationA, CreateEventA, GetSystemDirectoryA, lstrcmpiA, GetProcAddress, VirtualAlloc, GetLastError, WritePrivateProfileStringA, MoveFileA, GetModuleHandleA, GetCurrentThreadId, GetVersionExA, lstrcpyA, HeapAlloc, HeapFree, GetProcessHeap, ReadFile, VirtualProtectEx, GetTempFileNameA, DeleteFileA, GetThreadContext, VirtualQueryEx, GlobalAlloc, TerminateProcess, GlobalFree, ResumeThread, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, VirtualQuery, RtlUnwind, lstrcatA, CreateProcessA, Sleep, WriteFile, GetTickCount, WaitForSingleObject, lstrcpynA, lstrlenA, CreateFileA, LoadLibraryA, ExitProcess, IsDebuggerPresent
> USER32.dll: SetThreadDesktop, CloseDesktop, OpenInputDesktop, GetThreadDesktop, FindWindowExA, CallNextHookEx, ClientToScreen, TranslateMessage, InflateRect, CreateWindowExA, DefWindowProcA, SetWindowsHookExA, GetCursorPos, GetCaretPos, PostMessageA, DispatchMessageA, GetMessageA, GetWindowRect, RegisterClassExA, GetFocus, wsprintfA, EqualRect, IsWindowVisible, FindWindowA, LoadCursorA, GetWindowThreadProcessId, LoadIconA
> ADVAPI32.dll: CreateProcessAsUserA, RegQueryValueExA, RegDeleteKeyA, RegEnumKeyExA, RegCreateKeyExA, RegOpenKeyExA, RegDeleteValueA, RegEnumValueA, RegCloseKey, OpenProcessToken
> SHLWAPI.dll: SHDeleteKeyA, SHDeleteValueA, SHSetValueA, SHGetValueA

( 5 exports )
KCtOBpy, UIklSNDR, YXZazGhG, iewMdFXr, xTaOyjsBa
Seitenanfang Seitenende
29.11.2008, 16:59
raman
Moderator

Beiträge: 7805
#8 Versuche beide Dateien im abgesicherten Modus zu loeschen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1