Msqpdxserv.sys Hidden Einträge im Filesystem und der Registry

#1 Hallo,

bin durch einen User auf euer Forum aufmerksam geworden.
Habe schon überall gelesen und bei Avira nachgefragt, aber " Du mußt das System neu aufsetzen, hat es letztendlich nichts gebracht.
Schon daß der C:\resycled\Boot.com Virus mit Avira nicht gefunden wird ist schon heftig.
Aber OK, ist ja die Freeversion ;-) .
Habe mit Gmer versucht, der findet es sofort aber er bekommt es nicht weg.
Auch diese Seite http://www.spywarevoid.com/remove-msqpdxservsys-trojan.html half nicht.

Meine Hidden Files in der Registry sahen mit Rootkit Häkchen und Avira Free so aus:

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '77290' Objekte überprüft, '10' versteckte Objekte wurden gefunden.

Der Gmer findet diesen Übeltäter in Services, in Rot geschrieben
Module
---- Services - GMER 1.0.14 ----
Service system32\drivers\msqpdxyuhylqjg.sys (*** hidden ***) [SYSTEM] msqpdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Nun habe ich auf den Tipp hin Combofix laufen lassen,

Boah,
der hat trotz einiger Fehlermeldungen die Registry gesäubert.
Ich sollte mal das Combofix.log hier einstellen und bitte euch mal drüber zu schauen, ob das Mistviehch jetzt wirklich weg ist. Und das Log OK ist.

Wie gesagt das System hat keine Hidden Files mehr.

Ich bedanke mich schon mal recht herzlich für die Hilfe

Gruß Dieter

---------------------------------------------------------------------------
ComboFix 09-01-11.04 - Rechner1 2009-01-13 15:25:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2022.1565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Rechner1\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\patchw32.A290.dll
c:\windows\pw32a0.dll
c:\windows\system\msvbvm60.dll
c:\windows\system32\drivers\msqpdxyuhylqjg.sys
c:\windows\system32\mdm.exe
c:\windows\system32\msqpdxodlsbpjn.dll
c:\windows\system32\system
c:\windows\system32\system\msxml4.dll
c:\windows\system32\system\msxml4r.dll
c:\windows\system32\x64

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-12-13 bis 2009-01-13 ))))))))))))))))))))))))))))))
.

2009-01-13 14:58 . 2009-01-13 14:58 0 ---hs---- c:\windows\SFE5BDAAD.tmp
2009-01-13 14:55 . 2009-01-13 15:10 250 --a------ c:\windows\gmer.ini
2009-01-01 15:33 . 2009-01-01 15:33 971,552 --a------ c:\windows\system32\drivers\tdrpm174.sys
2009-01-01 15:33 . 2009-01-01 15:33 134,272 --a------ c:\windows\system32\drivers\snman380.sys
2009-01-01 15:32 . 2009-01-01 15:33 <DIR> d-------- c:\programme\Gemeinsame Dateien\Acronis
2009-01-01 15:32 . 2009-01-01 15:32 <DIR> d-------- c:\programme\Acronis
2009-01-01 14:13 . 2009-01-01 14:15 <DIR> d-------- c:\temp\amp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 14:17 --------- d-----w c:\dokumente und einstellungen\Rechner1\Anwendungsdaten\Skype
2009-01-13 12:49 --------- d-----w c:\programme\Alcohol Soft
2009-01-01 14:37 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Skype
2009-01-01 14:36 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Acronis
2009-01-01 14:33 540,000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-01-01 14:33 44,704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-01-01 14:14 --------- d-----w c:\programme\Symantec
2009-01-01 14:10 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-01 14:10 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Symantec
2009-01-01 12:45 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\DVD Profiler
2009-01-01 09:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-01-01 08:54 --------- d-----w c:\programme\dialwin
2009-01-01 08:44 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\skypePM
2008-12-29 06:41 --------- d-----w c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Lavasoft
2008-12-15 15:19 --------- d-----w c:\programme\FreePDF_XP
2008-12-11 13:40 15,464 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-06 17:33 --------- d-----w c:\programme\Java
2008-11-18 21:55 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-14 16:42 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-09-23 19:57 20 ---h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2008-03-13 05:19 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-12-04 08:33 129 ----a-w c:\programme\MIB2ROM.TXT
2004-11-17 07:46 6,924,396 ----a-w c:\dokumente und einstellungen\Dieter\setup.exe
1999-03-11 17:22 99,840 ----a-w c:\programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w c:\programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w c:\programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w c:\programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-02-01 21898024]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VOBRegCheck"="c:\windows\System32\VOBREGCheck.exe" [2003-01-08 153088]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"ipTray.exe"="c:\programme\Intel\IDU\iptray.exe" [2006-12-28 2242328]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-05 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-05 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-05 94208]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IntelAudioStudio"="c:\programme\Intel Audio Studio\IntelAudioStudio.exe" [2008-03-27 9142272]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2008-04-10 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-11-27 4386336]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-11-27 962584]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-11-27 165144]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-03-02 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Dieter\Startmen�\Programme\Autostart\
Rainlendar.lnk - c:\demo\Rainlendar-kalender\Rainlendar.exe [2006-01-21 118784]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\treiber\WIDCOMM\BTTray.exe [2004-10-01 565309]
talk&surf 6.0.lnk - c:\dokumente und einstellungen\Dieter\Eigene Dateien\Gigaset 4175\talk&surf\seshel21.exe [2008-12-19 249856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM2"= RALCodec.dll
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinFaxAppPortStarter"=wfxsnt40.exe
"WFXSwtch"=c:\progra~1\WinFax\WFXSWTCH.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"NeroCheck"=c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Demo\\SparVoip\\SparVoip.exe"=
"c:\\Demo\\WebCallDirect\\WebCallDirect.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [2009-01-01 134272]
R0 tdrpman174;Acronis Try&Decide and Restore Points filter (build 174);c:\windows\system32\drivers\tdrpm174.sys [2009-01-01 971552]
R1 LStone;Pinnacle Systems Studio AV/DV Overlay;c:\windows\system32\drivers\LStone2k.sys [2003-10-27 256113]
R1 MemAlloc;MemAlloc;c:\windows\system32\drivers\MemAlloc.sys [2003-10-27 5543]
R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [2005-03-01 8448]
R3 fhlppppoe;PPPOE/ADSL miniport;c:\windows\system32\drivers\fhlpppoe.sys [2004-12-31 49264]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [2004-09-08 263751]
R4 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2008-07-23 6784]
R4 Transbase;Transbase;c:\demos\BMW95ETK\7-2007\transbase\tbmux32.exe [2007-09-19 385024]
S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [2006-04-26 46592]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2007-01-22 15104]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [2005-03-22 223232]
S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [2006-04-26 55680]
S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [2006-04-26 94592]
S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [2006-04-26 45440]
S3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2005-03-01 53632]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [2004-09-08 50759]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [2004-03-21 11520]
S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408]
S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [2006-04-26 32128]
S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [2006-04-26 32000]
S3 Winacusb;Winacusb;c:\windows\system32\DRIVERS\winacusb.sys --> c:\windows\system32\DRIVERS\winacusb.sys [?]
S3 xControlCOM;xControlCOM;c:\dokumente und einstellungen\Dieter\Eigene Dateien\Gigaset 4175\talk&surf\xcontrolcom.exe [2008-12-19 327680]
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S4 Nlaidsament;Nlaidsament;c:\windows\system32\drivers\bthenum.sys [2004-11-04 17024]

--- Other Services/Drivers In Memory ---

*Deregistered* - uphcleanhlp

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-Norton Ghost 14 - c:\programme\Norton Ghost\Agent\VProTray.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Google Search - c:\programme\google\GoogleToolbar1.dll/cmsearch.html
IE: &Translate English Word - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
IE: Backward Links - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\programme\google\GoogleToolbar1.dll/cmcache.html
IE: Similar Pages - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
IE: Translate Page into English - c:\programme\google\GoogleToolbar1.dll/cmtrans.html
IE: {{B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\lotus\org6\organize\bandobjs.dll
TCP: {5AD657F3-A398-4E9E-ACB8-68FFED09784C} = 192.168.178.1
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:26:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,c0,63,7e,08,7f,
f2,2c,c9,e2,63,26,f1,3f,c8,ff,68,8b,46,eb,7b,67,5c,8a,e8,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,28,18,93,89,11,
22,0e,7f,6a,9c,d6,61,af,45,84,18,56,4c,47,be,5f,1d,7e,cf,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,1a,7d,39,f7,67,
79,dd,c4,ff,7c,85,e0,43,d4,0e,fe,24,bf,94,e9,85,e7,eb,9b,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,e7,d3,0a,c7,67,
25,1f,f5,86,8c,21,01,be,91,eb,e7,9f,c4,f9,d2,18,70,bc,1f,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,a4,bc,84,dc,7d,
7c,6d,7e,f5,1d,4d,73,a8,13,5c,05,70,79,c2,86,9c,46,20,36,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,95,2e,70,c9,e1,
d7,05,0a,df,20,58,62,78,6b,cf,c8,c9,39,06,fc,ff,a8,2c,ea,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,0f,ce,90,f4,4b,
75,64,90,fb,a7,78,e6,12,2f,9a,ea,17,3f,4f,77,f0,42,85,5c,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,35,ae,29,4d,fa,
58,88,e0,01,3a,48,fc,e8,04,4a,f1,4b,09,cc,1e,7e,02,e0,f9,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,b9,4f,56,05,33,
04,c5,fd,f6,0f,4e,58,98,5b,89,c9,b0,42,a0,ed,2c,34,b5,7e,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,a4,aa,40,62,2d,
0d,88,21,3d,ce,ea,26,2d,45,aa,78,63,ab,d5,a3,a9,f5,92,09,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,dd,59,6e,d6,b8,
1c,a7,03,2a,b7,cc,b5,b9,7f,41,e7,57,e8,c1,34,fd,5b,51,0d,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,a8,27,ef,4d,97,
ce,62,7f,6c,43,2d,1e,aa,22,2f,9c,68,cc,ba,c6,ec,0a,b3,81,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Enroute Imaging\QuickStitch\�*  "!]
"NumOfRun"="3"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1140)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-01-13 15:27:54
ComboFix-quarantined-files.txt 2009-01-13 14:27:52

Vor Suchlauf: 33 Verzeichnis(se), 261,829,619,712 Bytes frei
Nach Suchlauf: 33 Verzeichnis(se), 261,890,756,608 Bytes frei

259
-------------------------------------------------------------------------------

#2 Start > Ausführen> Kopiere rein ComboFix /U OK

Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Vollständigen Suchlauf durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

#3 Und scanne auch noch mit
superantispyware
http://board.protecus.de/t31252-1.htm
__________
MfG Argus

#4 Hallo Argus,

danke für Deine Vorschläge.

1.Der MabM Log
die 2 Infekte waren von einem anderen Virusprogramm in Quarantäne, jetzt gelöscht!
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

14.01.2009 14:32:55
mbam-log-2009-01-14 (14-32-55).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 270012
Laufzeit: 1 hour(s), 12 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxodlsbpjn.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{831BEE6A-F8EF-4DE0-B437-AA8916E71A66}\RP1614\A0321659.dll (Trojan.TDSS) -> Quarantined and deleted successfully.


Dann die 2. Suche mit dem Superantispyware
hier erstaunte mich, daß den den Trojaner bisher nie einer beim Scan fand.
Dieser steht noch in Quarantäne aber den würde ich gerne auch löschen?
Habe mal gelesen, daß selbst gelöscht enoch vorhanden wären :-((

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/14/2009 at 03:27 PM

Application Version : 4.24.1004

Core Rules Database Version : 3708
Trace Rules Database Version: 1683

Scan type : Complete Scan
Total Scan Time : 00:37:13

Memory items scanned : 519
Memory threats detected : 0
Registry items scanned : 7207
Registry threats detected : 0
File items scanned : 33892
File threats detected : 26

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@xiti[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@smartadserver[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.unitymediaforum[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@unitymediaforum[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@overture[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adtech[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@board[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adbrite[1].txt
.hitbox.com [ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\7zn1w0x9.default\cookies.txt ]
.hitbox.com [ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\7zn1w0x9.default\cookies.txt ]
.ehg-ati.hitbox.com [ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\7zn1w0x9.default\cookies.txt ]
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@tracking.lsfinteractive[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad.zanox[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@media.hotels[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.sparvoip[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@burstnet[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@burstnet[3].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[3].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@myaccount.webcalldirect[4].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adverticum[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adverticum[3].txt

Trojan.Dropper/Gen
C:\PROGRAMME\OLYMPUS\MASTER.PRO.V4.3.WINALL\OLYMPUS CAMEDIA.MASTER PRO.V4.3\OLYMPUS.CAMEDIA.MASTER.PRO.V4.3.WINALL\USB\UNINSTAL.EXE


Gruss Dieter

#5 Update MBAM und scanne nochmal
deins
Datenbank Version: 1616
meins
Datenbank Version: 1653

darf auch ein Quickscan sein
__________
MfG Argus

#6 Mache ich morgen Argus,

vielleicht kannst Du mir das noch erklären wenn ich einen Trojaner oder Virus aus der Quarantäne lösche wie der dann wirklich gelöscht wird?

Danke

Dieter

#7 Wie meinst du dass? Also bei Combofix z.B. sind die Dateien entgültig weg nach dem es entfernt ist. Befindet sich unter: C:\QooBox.
Wenn man den Quarantänr Ordner löscht dann sollte alles weg sein.

>>
Mach nach dem Scan mit Malwarebytes noch folgendes:

>>
Start - Ausführen - gib ein: regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

msqpdx

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

Für mich:

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\msqpdxserv.sys]

File::

#8 hallo Tonstudio,

wie Du wahrscheinlich in meinem Startpost überlesen hast, ist mein Msqpdx.....
kompülett mit ombofix weg.
Habe den Rechner heute Nacht mal am Internet hängen gelassen, ob es doch noch ein Rootkit gibt der Schadsoftware nachlädt. Der Test kommt gegen 11 Uhr

OK Der Superantispyware fand dann ja den Virus im c:\Qobox und habe ihn löschen lassen.
Den zweiten Dropper ebnfallls.

Werde heute nach den beiden Tests die Logs nochmal einstellen wie von Argus gewünscht.

Selber hatte ich ein gutes Gefühl.
Der Rechner ist auch wieder sehr schnell geworden.

#9

Zitat

wie Du wahrscheinlich in meinem Startpost überlesen hast, ist mein Msqpdx.....
kompülett mit ombofix weg.

Ich will nur sehen ob auch in der Registry alles raus ist.

Gruss Swiss

#10 @tonstudio
Hallo OK verstehe.
Hier das Log von Registry Search
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 15.01.2009 15:50:40 for strings:
; 'msqpdx'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



@Argus
Hier das neue MBAM
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

15.01.2009 13:32:12
mbam-log-2009-01-15 (13-32-12).txt

Scan-Methode: Vollständiger Scan (C:\)
Durchsuchte Objekte: 273029
Laufzeit: 1 hour(s), 22 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und noch mal durchgesannt mit Superantspyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/15/2009 at 02:54 PM

Application Version : 4.24.1004

Core Rules Database Version : 3708
Trace Rules Database Version: 1683

Scan type : Complete Scan
Total Scan Time : 00:35:51

Memory items scanned : 516
Memory threats detected : 0
Registry items scanned : 7149
Registry threats detected : 0
File items scanned : 33940
File threats detected : 1

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Dieter\Cookies\dieter@adtech[1].txt


Danke für eure Super Hilfe.

ich glaube der Rechner ist sauber, werde die nächsten Wochen immer wieder checken und auch die IP`s nicht dass da wieder die Ukraine kommt.
Die können nicht nur ihr Gas behalten, sondern auch alle anderen Tierchen ;-)

#11 Jo dann hätten wirs

DU kannst auch noch ab und zu einen Onlinescan machen. Hier eine Auswahl:
http://virus-protect.org/onlinescan.html

Gruss Swiss

#12 Danke Swiss,

muß ich in der Registry das 0 Byzte wieder auf 1 setzen?

Danke Dieter

#13 Nei wenn du wieder auf 0 setzt dann ist die Meldung für WindowsUpdates ausgeschalten. Und es ist wichtig dass du immer Benachrichtigt wirst wenn neue Updates vorhanden sind
Siehe auch hier:
http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2122.htm

Gruss Swiss

#14 hallo Argus
hallo Swiss

danke für eure Mühe. Ihr habt mir geholfen, das Rootkit zu besiegen.
Passworte habe ich trotz allem ausgetauscht, Banking mache ich nur per HBCI.
Da droht keine Gefahr.
Gmer lasse ich jetzt täglich einmal starten (geht ja fix) um zu sehen ob alles rein ist.

Danke, danke, danke

Grüsse Dieter

#15 Zum Abschluss.

Prüfe meinen Rechner mit wieistmeineip und traceroute.

Das macht alles wieder einen ganz normalen Eindruck.

Danke nochmals
Dieter