Heur/html.malware infiziert?

#0
21.12.2008, 18:03
Member

Beiträge: 13
#1 Hallo,

Heute kam bei mir eine Anti Virus meldung unzwar das sich HEUR/HTML.Malware bei mir einschleichen wollte ....
Habe ich natürlich gleich unter Quarantäne gestellt.
Doch nun wollte ich nochmal auf nimmer sicher gehen und Malware Bytes druchlaufen lassen.
Doch ich musste merken das so wie gut keine Anti Virus Programme mehr starten.
Ich komme auch so gut wie auf keine Anti Virus download Seite mehr mit malware Programm. bzw. auf die seite von combofix usw.
Wenn ich jetzt unter Windows Task Manager gehe und dann Prozesse steht bei Benutzername NICHTS mehr .... was sehr komisch is oder?
Ich bitte um Hilfe

Hier mal HJT:

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 16:51, on 2008-12-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Virtual CD\System\VC9Play.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Internet\icq\ICQ6\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
G:\Perfect World ENG\SandBoXie\SbieSvc.exe
G:\Virtual CD\System\vc9secs.exe
G:\Virtual CD\System\VC9Tray.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
H:\Alte Festplatte\D\teamspeack\Teamspeak 2 mit Pro\Teamspeak 2 Pro Trubi.exe
H:\SCHUTZ GEGEN VIREN,TROJANERN ETC\A-SQUARED FREE\A-SQUARED FREE\A2FREE.EXE
H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe
H:\Schutz gegen Viren,Trojanern etc\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Avant Browser\avant.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - H:\Video's u. DVD's\VeohTV Player\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VC9Player] G:\Virtual CD\System\VC9Play.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClockLauncher.exe
O4 - HKCU\..\Run: [LeechGet] "E:\Internet\LeechGet 2007\LeechGet.exe" -intray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\Internet\icq\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\xXxX\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = F:\TuneUp\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://E:\Internet\LeechGet 2007\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://E:\Internet\LeechGet 2007\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://E:\Internet\LeechGet 2007\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\NEU PROGRAMM ICQ\ICQLite.exe (file missing)
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - G:\SCity\SECRET~1\SECRET~1.EXE (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Internet\icq\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: h**p://board.monstersgame.de
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} (MGLaunch_USAv1001 Class) - h**p://ares.netgame.com/download/mglaunch_USAv1002.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - h**p://www.instantaction.com/download/iaplayer.cab
O23 - Service: Microsoft DDE+ server (73802b4bce0dfa59) - Unknown owner - C:\WINDOWS\system32\.73802b4bce0dfa59\73802b4bce0dfa59.exe (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Schutz gegen Viren,Trojanern etc\a-squared Free\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Auto Logon Service (AutoLogon) - Unknown owner - G:\Marco\autologonsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Macro Scheduler Service (mschedsvc) - Unknown owner - G:\Marco\msschedsvc.exe
O23 - Service: MSSQLSERVER - Unknown owner - g:\kalle\EIGENE~1\SQLSER~1\MSSQL\binn\sqlservr.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - G:\Perfect World ENG\SandBoXie\SbieSvc.exe
O23 - Service: SQLSERVERAGENT - Unknown owner - g:\kalle\EIGENE~1\SQLSER~1\MSSQL\binn\sqlagent.exe (file missing)
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - G:\Virtual CD\System\vc9secs.exe

--
End of file - 8772 bytes

Thx schonmal
Seitenanfang Seitenende
21.12.2008, 18:10
Member

Beiträge: 3716
#2 kannst du combofix aus dieser anleitung starten?
http://board.protecus.de/t23188.htm
Seitenanfang Seitenende
21.12.2008, 18:15
Member

Themenstarter

Beiträge: 13
#3 Nein kann ich nicht ;)
komm ja auch auf keine seite mehr die Anti Viren Programme bereitstellt rauf ...

Was sagt der HJT Log ?

Das sieht doch bissl komisch aus :
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll

oder? <.>

Ich bedanke mich schonmal für die hilfe ich muss das wieder zum laufen kriegen ...
Seitenanfang Seitenende
21.12.2008, 18:33
Member

Themenstarter

Beiträge: 13
#4 Da sagt er mir : Du kannst Combofix nicht in Comb_oFix umnennen.
Bitte nutze einen anderen Namen. Vorzugsweise aus alphanumirschen Zeichen bestehen.

Aber das Programm lässt dich so wie es aussieht öffnen wieso die anderen net?

Sehr komisch.

Könntest du noch ein Anhang ran machen wo der Name nochmal anders is.
Ich weiss nicht ob ich das nun einfach in ComboFixa ändenr kann, ohne die Datei zu beschädigen
Seitenanfang Seitenende
21.12.2008, 18:37
Member

Beiträge: 3716
#5 du darfst nur net .exe löschen.
versuche combo-fix.exe es geht, da der virus den du hast, die seiten und programmnamen spert, wenn man umbenennt, fällt es ihm meist net auf.
Seitenanfang Seitenende
21.12.2008, 19:03
Member

Themenstarter

Beiträge: 13
#6 So nachdem ich das nun umgenannt hab erstmal gl gestartet und halt ALLES ausgemacht ....
Zuerst sagte er mir Combofix hat RootKitAktivitäten festgestellt und muss herruntergefahren werden.
Habe mir nichts bei gedacht und OK gemacht.
Nun wollte er Starten jetzt steht dort : Windows kann nicht gestartet werden WINDOWS/CONFIG/SYSTEM fehlt.... Und kann deswegen nicht gestartet werden.



SOOOO gerade angemacht um zu gucken wie nun nochmal der Fehler genau war nun sah es so aus als ob er hochfärt!

Ich meld mich nochmal wenn ich genaueres weiss ...
So is zumindest derzeit mein Stand


EDIT: bin/war am pc meiner mum
EDIT2: nun hat er hochgefahren oha ... und nun sprang auch sofort Combofix an jedoch sagte mir antivir gl ein Fund nämlich vom Combofix ordner da ich glaube das dass nen fehl alarm war habsch ignorieren gemacht ich hoffe das war richtig.

EDIT3: so wie es aussieht hat COmbofix recht viel gefunden.
Aber ich glaub Windows wurde bloss von CD aus gestartet weil wenn ich nun msconfig in die ausführung eingeb komm msconfig extistiert nicht. Bitte um hilfe
Dieser Beitrag wurde am 21.12.2008 um 19:10 Uhr von Trubi69 editiert.
Seitenanfang Seitenende
21.12.2008, 19:28
Member

Beiträge: 3716
#7 bitte zeig das combofix-log....
Seitenanfang Seitenende
21.12.2008, 19:43
Member

Themenstarter

Beiträge: 13
#8 Sooo wenn ich nun unter ausführen mxsonfig eingebe geht das nicht wenn ich jedoch manuell über die ordner rein gehe gehts sehr komisch ...

Jetzt hat er auch ein Log File angelegt letztens hat er keins gemacht
Hier isses:

ComboFix 08-12-18.03 - xXxX 2008-12-21 19:02:59.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1650 [GMT -2:00]
ausgeführt von:: c:\dokumente und einstellungen\xXxX\Desktop\Combo-Fix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\twain_32\user.ds
c:\dokumente und einstellungen\xXxX\Anwendungsdaten\.#
c:\windows\system32\drivers\TDSSxeuu.sys
c:\windows\system32\TDSSehyx.log
c:\windows\system32\TDSSirxy.dll
c:\windows\system32\TDSSktkl.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSocun.dll
c:\windows\system32\TDSSqein.dll
c:\windows\system32\TDSSrojf.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSwrwn.log
c:\windows\system32\TDSSwupe.dat
c:\windows\system32\test.ttt
c:\windows\system32\twain_32
c:\windows\system32\twain_32\local.ds
c:\windows\system32\twain_32\user.ds
c:\windows\system32\twext.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-11-21 bis 2008-12-21 ))))))))))))))))))))))))))))))
.

2008-12-13 16:47 . 2008-12-13 17:52 <DIR> d-------- c:\dokumente und einstellungen\xXxX\Anwendungsdaten\HLSW
2008-12-13 15:44 . 2008-12-13 18:52 <DIR> d-------- c:\dokumente und einstellungen\xXxX\Anwendungsdaten\GetRightToGo
2008-12-12 21:50 . 2008-12-12 21:50 48 --a------ c:\windows\scmate.ini
2008-12-12 18:16 . 2008-12-20 17:40 3,012 --ahs---- c:\windows\system32\sys_drv.dat
2008-12-12 17:25 . 2008-12-12 17:25 180,064 --a------ c:\windows\system32\WinVd32.sys
2008-12-12 17:25 . 2008-12-12 17:25 16,384 --a------ c:\windows\system32\WinFl32.sys
2008-12-12 16:31 . 2008-12-12 16:32 <DIR> d-------- C:\ComboFix
2008-12-12 16:08 . 2008-12-12 16:08 3,108 --a------ c:\windows\ios.dat
2008-12-07 14:17 . 2008-12-08 05:25 5 --a------ c:\windows\sbacknt.bin
2008-12-07 14:16 . 2008-12-07 14:16 152,904 --a------ c:\windows\system32\vghd.scr
2008-12-06 23:16 . 2008-12-06 23:16 <DIR> d-------- c:\programme\coolspot AG
2008-11-27 17:37 . 2008-11-27 17:37 131,072 --a------ c:\windows\system32\SpoonUninstall.exe
2008-11-27 17:37 . 2008-11-27 17:37 36,095 --a------ c:\windows\system32\SpoonUninstall-dBpowerAMP Music Converter.dat
2008-11-27 17:37 . 2008-11-27 17:37 33,846 --a------ c:\windows\system32\SpoonUninstall-dBpowerAMP Music Converter.bmp
2008-11-24 14:12 . 2008-11-24 14:12 <DIR> d-------- C:\Netgame
2008-11-22 01:11 . 2008-11-22 01:11 <DIR> d-------- C:\DVDVideoSoft
2008-11-22 00:51 . 2008-11-22 00:51 <DIR> d--h----- c:\windows\PIF
2008-11-22 00:45 . 1996-11-06 17:11 69,632 --a------ c:\windows\RAUNINST.EXE
2008-11-21 22:15 . 2008-11-22 12:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-21 17:02 --------- d-----w c:\programme\Avant Browser
2008-12-20 23:18 --------- d-----w c:\programme\Windows Live Safety Center
2008-12-20 14:26 --------- d-----w c:\dokumente und einstellungen\xXxX\Anwendungsdaten\LimeWire
2008-12-20 13:44 --------- d-----w c:\dokumente und einstellungen\xXxX\Anwendungsdaten\foobar2000
2008-12-13 13:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-08 22:38 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-03 21:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 21:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-11-17 12:43 --------- d-----w c:\dokumente und einstellungen\xXxX\Anwendungsdaten\teamspeak2
2008-11-16 12:33 --------- d-----w c:\dokumente und einstellungen\xXxX\Anwendungsdaten\ICQ
2008-11-16 03:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Isotx
2008-11-16 03:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Raize
2008-11-01 13:56 --------- d-----w c:\programme\MSN Messenger
2008-10-27 20:41 138,280 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-10-27 20:41 111,928 ----a-w c:\windows\system32\PnkBstrB.exe
2008-10-27 12:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 12:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 12:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 12:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-10 06:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll
2008-10-10 06:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll
2008-10-10 06:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2008-10-07 15:27 81,984 ----a-w c:\windows\system32\bdod.bin
.

((((((((((((((((((((((((((((( snapshot@2008-12-12_16.24.59.56 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-22 15:59:58 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-12-21 19:07:40 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-10-22 15:59:58 16,384 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-12-21 19:07:40 16,384 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"RMClock"="c:\programme\RMClock\RMClockLauncher.exe" [2007-09-22 61440]
"LeechGet"="e:\internet\LeechGet 2007\LeechGet.exe" [2007-05-31 742912]
"msnmsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ICQ"="e:\internet\icq\ICQ6\ICQ.exe" [2008-09-01 173304]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\xXxX\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-02-28 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 15360]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Adobe Reader Speed Launcher"="f:\adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-22 185896]
"VC9Player"="g:\virtual cd\System\VC9Play.exe" [2007-12-03 202048]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2001-08-23 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\xXxX\Startmen\Programme\Autostart\
Stardock ObjectDock.lnk - f:\tuneup\Darkstar\Objekt dock\ObjectDock\ObjectDock.exe [2008-07-20 3450608]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 19:34 24576 f:\tuneup\Darkstar\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\73802b4bce0dfa59]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk
backup=c:\windows\pss\Service Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xXxX^Startmenü^Programme^Autostart^DesktopVideoPlayer.LNK]
path=c:\dokumente und einstellungen\xXxX\Startmenü\Programme\Autostart\DesktopVideoPlayer.LNK
backup=c:\windows\pss\DesktopVideoPlayer.LNKStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xXxX^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=c:\dokumente und einstellungen\xXxX\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=c:\windows\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 11:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID]
--a------ 2008-12-06 23:16 1461760 c:\progra~1\COOLSP~1\PERSON~1\pid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProxyCap]
--a------ 2008-08-25 15:44 282624 g:\freedom\ProxyCap\ProxyCap.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
--a------ 2007-12-06 10:39 370176 g:\perfect world eng\SandBoXie\SbieCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-24 21:11 132496 c:\programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 15:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-11-20 15:15 1826816 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RTHDCPL"=RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Video\\InterVideo\\DVD6\\WinDVD.exe"=
"e:\\Internet\\Limewire\\LimeWire.exe"=
"c:\\Programme\\Avant Browser\\avant.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"g:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\counter-strike\\hl.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"e:\\StubInstaller.exe"=
"g:\\Steam\\Steam.exe"=
"g:\\GunZ\\Gunz.exe"=
"g:\\ET\\Wolfenstein - Enemy Territory\\ET.exe"=
"g:\\ET\\Wolfenstein - Enemy Territory\\ETDED.exe"=
"g:\\ET\\Map\\GtkRadiant-1.3.8-ET.exe"=
"h:\\Alte Festplatte\\D\\VLC\\vlc.exe"=
"h:\\Video's u. DVD's\\VeohTV Player\\Veoh\\VeohClient.exe"=
"c:\\ijji\\ENGLISH\\u_gunz.exe"=
"e:\\Video\\VideoLAN\\vlc\\vlc.exe"=
"g:\\warcraft III\\Warcraft III\\Warcraft III.exe"=
"h:\\Alte Festplatte\\D\\Azureus\\Azureus.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"g:\\Warcraft Iso's u. Game\\Warcraft 3 - Reign of Chaos\\Warcraft III\\Warcraft III.exe"=
"e:\\Internet\\icq\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"h:\\Alte Festplatte\\D\\IRC\\mIRC\\mirc.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"h:\\Zattoo\\zattood.exe"=
"h:\\Zattoo\\Zattoo2.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"g:\\Steam\\SteamApps\\sehr-netter-boy@web.de\\dedicated server\\hlds.exe"=
"g:\\Operation 7\\OPERATION7.exe"=
"g:\\Steam\\ALLESNEUDEDI\\hlds\\DEDI\\hlds.exe"=
"h:\\Schutz gegen Viren,Trojanern etc\\Malwarebytes' Anti-Malware\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Dokumente und Einstellungen\\xXxX\\Lokale Einstellungen\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"g:\\Counter-Strike Sachen\\hlsw\\HLSW\\hlsw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"49154:TCP"= 49154:TCP:azureus
"49154:UDP"= 49154:UDP:azureus1
"6112:TCP"= 6112:TCP:WC3 Room
"6112:UDP"= 6112:UDP:WC3 Room1
"27015:TCP"= 27015:TCP:cs dedicated

R1 atitray;atitray;\??\e:\video\ATI Tray Tools\atitray.sys [2007-07-30 17952]
R1 vdrv9000;vdrv9000;c:\windows\system32\DRIVERS\vdrv9000.sys [2008-06-14 113168]
R2 FGUARD32;FGUARD32;\??\h:\file security\Folder Guard\FGUARD32.SYS []
R2 VC9SecS;Virtual CD v9 Management Service;g:\virtual cd\System\vc9secs.exe [2008-06-14 132416]
R3 SbieDrv;SbieDrv;\??\g:\perfect world eng\SandBoXie\SbieDrv.sys [2007-12-06 92160]
S0 otzfxe;otzfxe;c:\windows\system32\drivers\otvpm.sys []
S2 73802b4bce0dfa59;Microsoft DDE+ server;c:\windows\system32\.73802b4bce0dfa59\73802b4bce0dfa59.exe []
S3 AutoLogon;Auto Logon Service;g:\marco\autologonsvc.exe [2007-11-27 197840]
S3 HH9Help.sys;HH9Help.sys;\??\c:\windows\system32\drivers\HH9Help.sys [2008-06-14 11392]
S3 mschedsvc;Macro Scheduler Service;g:\marco\msschedsvc.exe [2007-11-27 183504]
S3 NPF;Netgroup Packet Filter;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 XDva076;XDva076;\??\c:\windows\system32\XDva076.sys []
S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys []
S3 XDva093;XDva093;\??\c:\windows\system32\XDva093.sys []
S3 XDva104;XDva104;\??\c:\windows\system32\XDva104.sys []
S3 XDva143;XDva143;\??\c:\windows\system32\XDva143.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
.
------- Zusätzlicher Suchlauf -------
.
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
IE: Mit dem LeechGet Wizard laden - file://e:\internet\LeechGet 2007\\Wizard.html
IE: Mit LeechGet herunterladen - file://e:\internet\LeechGet 2007\\AddUrl.html
IE: Mit LeechGet parsen - file://e:\internet\LeechGet 2007\\Parser.html
IE: {{D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - g:\scity\SECRET~1\SECRET~1.EXE
IE: {{D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - g:\scity\SECRET~1\SECRET~1.EXE -
LSP: w2pxdrv.dll

c:\windows\Downloaded Program Files\mglaunch_USAv1002.exe - c:\windows\Downloaded Program Files\mglaunch_USAv1002.dll
O16 -: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE}
hxxp://ares.netgame.com/download/mglaunch_USAv1002.cab
c:\windows\Downloaded Program Files\mglaunch_USAv1002.inf

c:\windows\Downloaded Program Files\iaplayer.dll - O16 -: {DB7BF79A-FC51-4B5A-92BC-A65731174380}
hxxp://www.instantaction.com/download/iaplayer.cab
c:\windows\Downloaded Program Files\cab.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-12-21 19:04:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSxeuu.sys"

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\vdrv9000]
"ImagePath"="system32\DRIVERS\vdrv9000.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(884)
c:\windows\system32\Ati2evxx.dll
f:\tuneup\Darkstar\AlienGUIse\fastload.dll

- - - - - - - > 'lsass.exe'(940)
c:\windows\system32\w2pxdrv.dll
.
Zeit der Fertigstellung: 2008-12-21 19:05:29
ComboFix-quarantined-files.txt 2008-12-21 21:05:24
ComboFix2.txt 2008-12-12 18:32:52
ComboFix3.txt 2008-12-12 18:25:27

Vor Suchlauf: 23 Verzeichnis(se), 12,092,911,616 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 12,894,789,632 Bytes frei

266


Hoffe das hilft
Seitenanfang Seitenende
21.12.2008, 19:48
Member

Beiträge: 3716
#9 hallo,
dein pc hat wie gesagt rootkits... bitte kein onlinebanking etc mehr. wenn net unbedingt benötigt (außer von mir genannte seiten) trenne ihn vom netz. wenn du onlinebanking betreibst oder sonstige geschäfte, bei denen du deine kontodaten angegeben hast, teile dies so schnell wie möglich deiner bank mit.
alle passwörter sind als gestohlen zu betrachten und müssen sofort von einem sauberen rechner aus geendert werden.
lad sdfix füre aus poste log:
http://virus-protect.org/artikel/tools/sdfix.html
Seitenanfang Seitenende
21.12.2008, 19:59
Member

Themenstarter

Beiträge: 13
#10 In den abgesicherten Modus komm ich net mehr
Dort steht dann immer Zu Hohe Frequenz ...
Denk mal das is kein Virus irgendwas anderes ...
Ich mach kein Online Banking ...
Alles PW's geklaut ? och noe -.-

er hat mehrere Rootkits? -.-
Sind die denn nun weg?!
Seitenanfang Seitenende
21.12.2008, 20:06
Member

Beiträge: 3716
#11 das m´üdas müssen wir ja überprüfen.
bitte deinstaliere mal deine version vom malwarebytes (falls vorhanden) dann neu instalieren und suchlauf starten, funde löschen log posten.
dann noch mal sdfix versuchen
Seitenanfang Seitenende
21.12.2008, 20:11
Member

Themenstarter

Beiträge: 13
#12 Hab ich schon probiert!
Also das mit Malware Bytes ... keine Funde mehr.
In den abgesicherten Modus komm ich immer noch net ^^
"Frequenz zu hoch" dann machter nichts mehr
Seitenanfang Seitenende
21.12.2008, 20:28
Member

Beiträge: 3716
#13 versuche avira rescue cd brenne von nem sauberen system falls möglich, funde renamen log speichern oder funde aufschreiben.
www.avira.com/de/support/support_downloads.html - 34k -
Seitenanfang Seitenende