Combofix Log - kenne mich nicht aus

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.12.2008, 18:47
Member

Beiträge: 47
#1 Leider kenne ich mich überhaupt nicht damit aus.
Das Programm wurde mir von einer Freundin empfohlen, allerdings hat sie auch nicht mehr Ahnung davon, wie ich.
Ich poste einfach mal das Logfile und hoffe, dass ihr mir helfen könnt.


ComboFix 08-12-05.01 - AliceD 2008-12-05 18:34:42.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\AliceD\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-05 bis 2008-12-05 ))))))))))))))))))))))))))))))
.

2008-11-23 18:55 . 2008-11-23 18:55 <DIR> d-------- c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mael

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 17:17 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-05 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-04 21:06 --------- d-----w c:\programme\Trillian
2008-12-01 21:34 --------- d-----w c:\dokumente und einstellungen\AliceD\Anwendungsdaten\uTorrent
2008-11-28 21:01 --------- d-----w c:\programme\Burn4Free
2008-11-19 11:02 --------- d-----w c:\programme\EvilLyrics
2008-10-28 12:50 58,091 ----a-w c:\programme\messages.log
2008-10-28 12:50 --------- d-----w c:\programme\Zak2
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-07 15:56 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-07 15:52 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-10-07 11:30 --------- d-----w c:\programme\Trend Micro
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2007-07-17 14:24 92,064 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdm.sys
2007-07-17 14:24 9,232 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdfl.sys
2007-07-17 14:24 79,328 ----a-w c:\dokumente und einstellungen\AliceD\mqdmserd.sys
2007-07-17 14:24 66,656 ----a-w c:\dokumente und einstellungen\AliceD\mqdmbus.sys
2007-07-17 14:24 6,208 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcmnt.sys
2007-07-17 14:24 5,936 ----a-w c:\dokumente und einstellungen\AliceD\mqdmwhnt.sys
2007-07-17 14:24 4,048 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcr.sys
2007-07-17 14:24 25,600 ----a-w c:\dokumente und einstellungen\AliceD\usbsermptxp.sys
2007-07-17 14:24 22,768 ----a-w c:\dokumente und einstellungen\AliceD\usbsermpt.sys
1999-07-07 00:00 6 --sh--r c:\windows\@@desktop.dat
2008-02-08 18:01 8 --sh--r c:\windows\system32\7E84673C8A.sys
2008-02-08 18:58 848 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CCA80AA2-616F-44FB-BF6F-C94495B301B0}]
2007-06-07 21:54 32134 --a------ c:\windows\system32\odbcju32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 761945]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-04-16 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-04-16 970752]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 c:\windows\agrsmmsg.exe]
"TFncKy"="TFncKy.exe" [BU]
"TDispVol"="TDispVol.exe" [2005-09-16 c:\windows\system32\TDispVol.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-13 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

S3 DLKRCB;D-Link DFE-690TXD CardBus PC Card;c:\windows\system32\DRIVERS\DLKRCB.SYS [2006-11-30 25434]
S3 Perpfakhss;Perpfakhss; []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ccd44f6-fc90-11db-8402-001302c2dd42}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {9E1312FD-C729-4455-AAFB-C11ECD279EB1} = 194.25.2.132
TCP: {A9BDAC75-55C0-4102-BC83-F21AC775AF8E} = 10.190.1.1
TCP: {B4EC39DD-0AFB-4E83-A8C6-94F58FA67F2F} = 10.190.1.1,10.190.1.163
TCP: {BA7C00FF-A1A3-47E4-94E6-69965FEB8AF4} = 192.168.1.1
FireFox -: Profile - c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mozilla\Firefox\Profiles\ayhwhvto.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://martinskloster-trier.de/forum/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 18:36:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(932)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-05 18:37:28
ComboFix-quarantined-files.txt 2008-12-05 17:37:22
ComboFix2.txt 2008-12-05 17:15:34

Vor Suchlauf: 21 Verzeichnis(se), 20.477.063.168 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 20,463,222,784 Bytes frei

138 --- E O F --- 2008-11-12 19:11:49
Seitenanfang Seitenende
05.12.2008, 19:29
Moderator

Beiträge: 7805
#2 Hallo AliceD,

Was war der Grund fuer dich ein Combofix Report zu erstellen?


BTW: teste folgende Datei bitte bei Virustotal und poste den Link tzu dem Ergebniss...
c:\windows\system32\odbcju32.dll
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.12.2008, 22:12
Member

Themenstarter

Beiträge: 47
#3 Dankeschön für die flinke Hilfe

http://www.virustotal.com/de/analisis/a8c05f7ecc9b16e4c98045a5b20cf824


Ich hab einen Combofix Log erstellt, weil ich einen Trojaner hab und den bisher nicht losgeworden bin. Ich hatte auch Hijackthis, Spybot und Stinger durchlaufen lassen, genauso wie Antivir, aber er wurde nicht mehr angezeigt oder gefunden.
Aber trotzdem wurde mir von Antivir immer wieder gewarnt, dass er aktiv ist. (oder wie auch immer ich die Warnung werten darf)
Wie gesagt, ich kenn mich damit leider nicht gut aus.
Dieser Beitrag wurde am 05.12.2008 um 22:18 Uhr von AliceD editiert.
Seitenanfang Seitenende
06.12.2008, 07:05
Moderator

Beiträge: 7805
#4 Lass dir nicht alles aus der Nase ziehen! ;) Was hat Antivir wo gemeldet?

Arbeite bitte die Punkte 3 und 5 aus http://board.protecus.de/t23187.htm ab und poste die entsprechenden Reporte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.12.2008, 15:34
Member

Themenstarter

Beiträge: 47
#5 Die Pferde wurden in
C:\WINDOWS\System32\DefLib.sys,
C:\Dokumente und Einstellungen\AliceD... da wars so7.exe und x3.exe und in
C:\Dokumente und Einstellungen\AliceD\Lokale EInstellungen\Temporary Internet Files\Content.IE5\0XY4IQG3\so.exe gefunden und noch zwei oder drei andere dort.
Außerdem C:\9A5.tmp
und C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP431\A0035407.sys



Mbam-Log


Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1466
Windows 5.1.2600 Service Pack 2

06.12.2008 14:56:54
mbam-log-2008-12-06 (14-56-54).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54131
Laufzeit: 5 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cca80aa2-616f-44fb-bf6f-c94495b301b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cca80aa2-616f-44fb-bf6f-c94495b301b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cca80aa2-616f-44fb-bf6f-c94495b301b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\odbcju32.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\SaveNowupdate.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.



Combofix- Log

ComboFix 08-12-05.06 - AliceD 2008-12-06 15:04:07.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.513 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\AliceD\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-06 bis 2008-12-06 ))))))))))))))))))))))))))))))
.

2008-12-06 14:49 . 2008-12-06 14:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-06 14:49 . 2008-12-06 14:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-06 14:49 . 2008-12-06 14:49 <DIR> d-------- c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Malwarebytes
2008-12-06 14:49 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-06 14:49 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-23 18:55 . 2008-11-23 18:55 <DIR> d-------- c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mael

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-06 13:58 --------- d-----w c:\programme\Trillian
2008-12-05 21:26 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-05 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-01 21:34 --------- d-----w c:\dokumente und einstellungen\AliceD\Anwendungsdaten\uTorrent
2008-11-28 21:01 --------- d-----w c:\programme\Burn4Free
2008-11-19 11:02 --------- d-----w c:\programme\EvilLyrics
2008-10-28 12:50 58,091 ----a-w c:\programme\messages.log
2008-10-28 12:50 --------- d-----w c:\programme\Zak2
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-07 15:56 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-07 15:52 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-10-07 11:30 --------- d-----w c:\programme\Trend Micro
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2007-07-17 14:24 92,064 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdm.sys
2007-07-17 14:24 9,232 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdfl.sys
2007-07-17 14:24 79,328 ----a-w c:\dokumente und einstellungen\AliceD\mqdmserd.sys
2007-07-17 14:24 66,656 ----a-w c:\dokumente und einstellungen\AliceD\mqdmbus.sys
2007-07-17 14:24 6,208 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcmnt.sys
2007-07-17 14:24 5,936 ----a-w c:\dokumente und einstellungen\AliceD\mqdmwhnt.sys
2007-07-17 14:24 4,048 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcr.sys
2007-07-17 14:24 25,600 ----a-w c:\dokumente und einstellungen\AliceD\usbsermptxp.sys
2007-07-17 14:24 22,768 ----a-w c:\dokumente und einstellungen\AliceD\usbsermpt.sys
1999-07-07 00:00 6 --sh--r c:\windows\@@desktop.dat
2008-02-08 18:01 8 --sh--r c:\windows\system32\7E84673C8A.sys
2008-02-08 18:58 848 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 761945]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-04-16 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-04-16 970752]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 c:\windows\agrsmmsg.exe]
"TFncKy"="TFncKy.exe" [BU]
"TDispVol"="TDispVol.exe" [2005-09-16 c:\windows\system32\TDispVol.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\AliceD\Startmen\Programme\Autostart\
AntiVir PersonalEdition Classic starten.lnk - c:\programme\AntiVir PersonalEdition Classic\avcenter.exe [2006-09-26 356609]
TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2006-10-29 114688]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-13 110592]
Sygate Personal Firewall (2).lnk - c:\programme\Sygate\SPF\Smc.exe [2004-02-24 2372760]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

S3 DLKRCB;D-Link DFE-690TXD CardBus PC Card;c:\windows\system32\DRIVERS\DLKRCB.SYS [2006-11-30 25434]
S4 Cmdatdskadha;Cmdatdskadha; []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ccd44f6-fc90-11db-8402-001302c2dd42}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {9E1312FD-C729-4455-AAFB-C11ECD279EB1} = 194.25.2.132
TCP: {A9BDAC75-55C0-4102-BC83-F21AC775AF8E} = 10.190.1.1
TCP: {B4EC39DD-0AFB-4E83-A8C6-94F58FA67F2F} = 10.190.1.1,10.190.1.163
TCP: {BA7C00FF-A1A3-47E4-94E6-69965FEB8AF4} = 192.168.1.1
FireFox -: Profile - c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mozilla\Firefox\Profiles\ayhwhvto.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://martinskloster-trier.de/forum/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-06 15:07:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-06 15:08:12
ComboFix-quarantined-files.txt 2008-12-06 14:07:57
ComboFix2.txt 2008-12-05 17:37:30

Vor Suchlauf: 21 Verzeichnis(se), 21.213.081.600 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 21,213,245,440 Bytes frei

145 --- E O F --- 2008-11-12 19:11:49



Und der HijackThis- Log


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:20, on 06.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Dokumente und Einstellungen\AliceD\Desktop\Neuer Ordner (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {60BF5EE3-0105-4858-AD98-17C19F86B042} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - (no file)
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AntiVir PersonalEdition Classic starten.lnk = C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
O4 - Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Sygate Personal Firewall (2).lnk = C:\Programme\Sygate\SPF\Smc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: eBay - {2D941D56-1B19-44AE-8CF5-08331A3B4CCF} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E1312FD-C729-4455-AAFB-C11ECD279EB1}: NameServer = 194.25.2.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9BDAC75-55C0-4102-BC83-F21AC775AF8E}: NameServer = 10.190.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4EC39DD-0AFB-4E83-A8C6-94F58FA67F2F}: NameServer = 10.190.1.1,10.190.1.163
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7C00FF-A1A3-47E4-94E6-69965FEB8AF4}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9E1312FD-C729-4455-AAFB-C11ECD279EB1}: NameServer = 194.25.2.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{9E1312FD-C729-4455-AAFB-C11ECD279EB1}: NameServer = 194.25.2.132
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 9746 bytes

Seitenanfang Seitenende
06.12.2008, 15:44
Member

Beiträge: 3716
#6 hallo, stell dein antivir so ein:
http://board.protecus.de/t23979.htm
zusätzlich noch rootkitsuche aktiviren.
schalte den teatimer von spybot aus, er kann reinigungsarbeiten verhindern!http://www.safer-networking.org/de/howto/disable.html
scanne nun mit antivir alle laufwerke funde in quarantäne. achtung! er wird combofix finden, bitte ignorieren.
Update nun noch einmal malwarebytes lass es scannen und funde löschen, poste das log
Seitenanfang Seitenende
06.12.2008, 15:51
Moderator

Beiträge: 7805
#7 Erstelle bitte einen Gmer Report:
http://forum.hijackthis.de/showthread.php?t=16868
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2008, 16:30
Member

Themenstarter

Beiträge: 47
#8 Okay, hier der AV-Log



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 6. Dezember 2008 18:08

Es wird nach 1075399 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: AliceD
Computername: SCHREIBTISCH

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 13:29:38
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 14:21:33
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 14:21:34
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 14:21:34
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:59:52
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 23:54:49
ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 15:55:06
ANTIVIR3.VDF : 7.1.0.195 219648 Bytes 05.12.2008 15:55:20
Engineversion : 8.2.0.42
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 12:29:01
AESCRIPT.DLL : 8.1.1.17 336251 Bytes 05.12.2008 15:56:24
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 14:34:09
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 13:40:21
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 18:50:31
AEOFFICE.DLL : 8.1.0.32 196987 Bytes 06.12.2008 15:55:20
AEHEUR.DLL : 8.1.0.74 1519990 Bytes 05.12.2008 15:56:22
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 16:30:14
AEGEN.DLL : 8.1.1.6 323955 Bytes 29.11.2008 13:36:11
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 12:28:55
AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 13:36:10
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 12:28:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 14:21:33
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 14:21:33
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 19:26:29
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 14:21:33
AVARKT.DLL : 1.0.0.23 307457 Bytes 14.04.2008 20:27:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 14:21:33
SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.04.2008 20:27:24
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 14:21:34
NETNT.DLL : 8.0.0.1 7937 Bytes 14.04.2008 20:27:24
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 14:21:25
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 14:21:25

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\AliceD\LOKALE~1\Temp\9b66bed2.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 6. Dezember 2008 18:08

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <system>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\AliceD\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 6. Dezember 2008 19:24
Benötigte Zeit: 1:16:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8726 Verzeichnisse wurden überprüft
418156 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
418154 Dateien ohne Befall
9591 Archive wurden durchsucht
2 Warnungen
0 Hinweise


Und Mbam

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1470
Windows 5.1.2600 Service Pack 2

07.12.2008 16:06:21
mbam-log-2008-12-07 (16-06-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54136
Laufzeit: 5 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und der Gmer-Log

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-07 16:26:47
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7D91684 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xF79F78D0]
SSDT F7D91670 ZwOpenProcess
SSDT F7D91675 ZwOpenThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xF79F7E70]
SSDT F7D9167F ZwTerminateProcess
SSDT F7D9167A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text tcpip.sys!IPTransmit + 10BC EE76FCFA 6 Bytes CALL F74A0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!IPTransmit + 2810 EE77144E 6 Bytes CALL F74A0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text tcpip.sys!ARPRcv + 506D EE7764E0 6 Bytes CALL F74A0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys F782B3FD 4 Bytes CALL F74A0350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text wanarp.sys F782B402 2 Bytes [ 90, 90 ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- EOF - GMER 1.0.14 ----
Seitenanfang Seitenende
07.12.2008, 16:38
Moderator

Beiträge: 7805
#9 Das sieht gut aus. Mache nun bitte alle fehlenden wichtigen Updates von www.windowsupdate.com. Wiederhole das so oft, bis dir keine Updates mehr angeboten werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2008, 16:44
Member

Themenstarter

Beiträge: 47
#10 Dankeschön. Ihr habt mir sehr geholfen. ;)
Seitenanfang Seitenende
10.12.2008, 16:57
Member

Themenstarter

Beiträge: 47
#11 Hab ein weiteres Problem.
Als ich eben versucht hab, Combofix zu löschen, wie auf der Webseite beschrieben, bekam ich prompt ne Viruswarnung von AV... ich hab die Einstellungen mal so gelassen, wie ihr mir empfohlen habt.

Anscheinend enthält eine Datei Erkennungsmuster eines SPR/Tool.Hide.A-Programms... aber anscheinend braucht Combofix die Datei um sich zu deinstallieren oder so, denn er beschwert sich, dass er die Datei nicht finden konnte.
Die Datei um die es sich handelt ist die hier: C\32788R22FWJFW\hidec.exe
Dieser Beitrag wurde am 10.12.2008 um 17:02 Uhr von AliceD editiert.
Seitenanfang Seitenende
10.12.2008, 17:03
Moderator

Beiträge: 7805
#12 Ja, SPR solltest du bei Antivir aus der Erkennung herausnehmen. Da meldet es einiges "harmloses"...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.12.2008, 17:07
Member

Themenstarter

Beiträge: 47
#13 Okay, dankeschön, jetzt hats geklappt. ;)
Seitenanfang Seitenende
17.12.2008, 08:47
...neu hier

Beiträge: 1
#14 Da mir die verschiedenen Foren schon öfter geholfen haben, jetzt mal eine Rückkopplung:

Über eine versiffte Internetseite habe ich mir diverse Schadsoftware auf den Rechner geholt, obwohl McAfee aktiv war.
Ergebnis: bei Google-Abfragen wurde ich immer wieder auf bestimmte Seiten weitergeleitet: z.B. blinkx.com. Zu Zweiten wurde der Download diverses Hilfsprogramme blockiert: Combofix, Maleware etc. Spybot wurde in der Ausführung blockiert und der Besuch best. Foren verhindert. Bereits im Bootsektor saß ein Virus
Zum Dritten wurde die Wiederherstellungskonsole blockiert.
Lösung: Über Avira div. Schadsoftware gelöscht. Super ist zusätzlich Rising Antivirus. Nach meinem Eindruck hat es den Virus im Bootsektor gelöscht und bietet einen Virusscan beim Hochfahren an.
Per USB-Stick von einem Freund Combofix besorgt. Ich verstehe jetzt, dass die Verbrecher, die die Maleware programmiert haben, den Download blockiert haben. Hat alle Probleme gelöst. Danach Spybot (funktioniert wieder),Malewarebaytes, Smitfraudfix geladen und über den Rechner geschickt.

Im Anhang das Protokoll von Combofix - falls es einem hilft

Anhang: ComboFix.txt
Seitenanfang Seitenende