Virus? Avast gibt Alarm, diverse Probleme

#0
13.01.2009, 20:23
...neu hier

Beiträge: 4
#1 Hallo,

mein Computer hat zur Zeit einige Probleme. Ich habe schon längere Zeit vermutet, dass irgendwas nicht stimmt, nun wird es aber immer deutlicher.

Probleme:

Der Standard-XP-Skin verändert sich ab und an plötzlich zu dem "Win98Skin", ohne das eine Umstellung von mir vorgenommen wurde oder im Desktop-Menü angezeigt wird.

Die verschiedenen Tabs im Firefox behalten teilweise ihre Beschreibungen und Favicons, wenn ich das Fenster wechsel. Um die aktuellen Tabs richtig zu sehen, muss ich erst mit der Maus rüberfahren, dann verändern sie sich.

Es ist nicht möglich, Seiten von bekannten Antivirenherstellern zu erreichen. Es folgt ein "Seiten-Ladefehler".

Nach dem StandBy Modus erscheint teilweise das Loginfenster nicht.

Nach einem StandBy Modus lassen sich keine Programme in der Taskleiste mehr aufrufen. Der Taskmanager ist per STRG+ALT+Entf ebenfalls nicht zu erreichen. Ein Abschalten/Neustarten oder erneuter Standby sowie das Sperren des PCs ist nicht mehr möglich.

Sperren des PCs, Abschalten und Neustart funktioniert teilweise nicht, auch ohne vorherigen StandBy Modus.

Teilweise habe ich eine Internetverbindung (Ich nutze Wlan), kann aber keine Seiten aufrufen. Das benutzen von Messengern ist weiterhin möglich! In dieser Zeit habe ich einen hohen Upstream, der Downstream ist jedoch minimal.

Der ausschlaggebende Punkt zur Ursachenforschung war aber nun mein USB Stick. Folgende Nachricht bekam ich letztens von Avast! AntiVirus gemeldet:

Virus Alert!
J:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx\[UPX]

Win32:Confi [Wrm]

Die Datei wird zwar angeblich gelöscht, sobald ich den USB Stick aber wieder in den PC stecke, erscheint die selbe Meldung erneut. Folgende Meldung erscheint nach der Virusmeldung, wenn der Stick "starten" möchte:




Antivirenscans mit Avast, Bitdefender, Malwarebytes AntiMalware, Spybot und AdAware brachten keine Ergebnisse, es wurde kein Virus gefunden. HiJackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:30, on 13.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\system32\Ati2evxx.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
G:\Programme\Alwil Software\Avast4\aswUpdSv.exe
G:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOOF\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
G:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOOF\system32\PnkBstrA.exe
C:\WINDOOF\system32\svchost.exe
G:\Programme\Alwil Software\Avast4\ashMaiSv.exe
G:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOOF\system32\wbem\wmiapsrv.exe
G:\Programme\AlienGUIse\wbload.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\RTHDCPL.EXE
G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
G:\Programme\Comodo\COMODO Internet Security\cfp.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\WINDOOF\system32\ctfmon.exe
G:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
G:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
J:\PStart.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\logger.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://media.warrock.net/inGameAds/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "G:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOOF\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "G:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: wbsys.dll C:\WINDOOF\system32\guard32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - G:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOOF\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOOF\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - G:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - G:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - G:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - G:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOOF\system32\PnkBstrA.exe

--
End of file - 8508 bytes


Kann mir jemand helfen? Habe ich einen Virus, oder ist das Problem ein ganz anderes?

Viele Grüße
Fraaap
Seitenanfang Seitenende
13.01.2009, 21:00
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Benutzt du jetzt zwei Virenscanner?
__________
MfG Argus
Seitenanfang Seitenende
13.01.2009, 21:29
...neu hier

Themenstarter

Beiträge: 4
#3 Nein, bei mir läuft nur Avast. Bitdefender habe ich nur kurzzeitig zum Überprüfen vom Ergebnis vom Avast-Scanner benutzt. Neben Avast Antivirus läuft noch die Comodo-Firewall. Ansonsten nichts.
Seitenanfang Seitenende
13.01.2009, 21:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Poste mal die Daten von http://board.protecus.de/t23187.htm
__________
MfG Argus
Seitenanfang Seitenende
14.01.2009, 13:23
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo,

hier erstmal der Log von Combofix:

ComboFix 09-01-13.04 - Sebastian 2009-01-14 13:09:33.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Desktop\ComboFix.exe

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-14 13:11 . 2009-01-14 13:11 <DIR> d-------- c:\windoof\system32\xircom
2009-01-14 13:11 . 2009-01-14 13:11 <DIR> d-------- c:\programme\microsoft frontpage
2009-01-09 22:56 . 2009-01-09 22:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3
2009-01-09 22:53 . 2009-01-09 22:53 <DIR> d-------- c:\windoof\system32\xlive
2009-01-09 22:45 . 2009-01-09 22:45 <DIR> d-------- c:\programme\CCleaner
2009-01-09 22:19 . 2009-01-09 22:19 <DIR> d-------- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes
2009-01-09 22:18 . 2009-01-13 20:04 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-09 22:18 . 2009-01-09 22:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-09 22:18 . 2009-01-04 18:41 38,496 --a------ c:\windoof\system32\drivers\mbamswissarmy.sys
2009-01-09 22:18 . 2009-01-04 18:41 15,504 --a------ c:\windoof\system32\drivers\mbam.sys
2009-01-09 21:12 . 2009-01-09 21:12 850 --a------ c:\windoof\system32\ProductTweaks.xml
2009-01-09 21:12 . 2009-01-09 21:12 385 --a------ c:\windoof\system32\user_gensett.xml
2009-01-09 21:07 . 2009-01-09 22:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\BitDefender
2009-01-09 20:47 . 2009-01-09 20:47 <DIR> d-------- c:\programme\Trend Micro
2009-01-05 16:19 . 2009-01-05 16:19 <DIR> d-------- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Apple Computer
2009-01-04 20:35 . 2009-01-09 22:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Buhl Data Service
2009-01-04 20:35 . 2009-01-04 20:35 <DIR> d-------- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Buhl Data Service
2009-01-04 20:34 . 2009-01-04 20:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2009-01-04 13:33 . 2009-01-11 00:28 <DIR> d-------- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-01-04 13:33 . 2009-01-11 00:28 <DIR> d-------- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-01-04 13:33 . 2009-01-04 13:33 <DIR> d-------- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-01-04 13:33 . 2009-01-04 13:33 <DIR> d-------- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-01-04 13:15 . 2009-01-04 13:15 <DIR> d-------- c:\programme\Sophos
2009-01-04 13:14 . 2009-01-04 13:14 <DIR> d-------- c:\programme\Lavasoft
2009-01-04 13:14 . 2009-01-04 13:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-04 13:14 . 2009-01-04 13:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-04 01:46 . 2009-01-04 01:47 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-01-04 01:46 . 2009-01-04 01:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-03 22:42 . 2009-01-03 22:43 664 --a------ c:\windoof\system32\d3d9caps.dat
2008-12-31 13:09 . 2009-01-04 02:13 <DIR> d-------- c:\programme\FreeUndelete
2008-12-29 00:22 . 2000-08-19 20:29 268,048 --a------ c:\windoof\system32\dxtmeta2.dll
2008-12-28 17:50 . 2000-06-23 14:05 136,704 --a------ c:\windoof\system32\iacenc.dll
2008-12-28 17:50 . 2000-06-22 13:09 56,320 --a------ c:\windoof\system32\iyvu9_32.dll
2008-12-25 22:26 . 2008-12-25 22:26 <DIR> d-------- c:\programme\QuickTime
2008-12-25 22:26 . 2008-12-25 22:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2008-12-25 22:26 . 2008-12-25 22:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-12-25 22:25 . 2008-12-25 22:25 <DIR> d-------- c:\programme\Apple Software Update
2008-12-25 22:25 . 2008-12-25 22:25 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-12-24 20:58 . 2008-12-24 20:58 <DIR> d-------- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\butel
2008-12-24 20:44 . 2008-12-24 20:44 <DIR> d-------- c:\programme\BuTel
2008-12-23 12:27 . 2009-01-11 20:12 <DIR> d-------- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\skypePM
2008-12-23 12:27 . 2008-12-23 12:27 56 --ah----- c:\windoof\system32\ezsidmv.dat
2008-12-23 12:26 . 2008-12-23 12:26 <DIR> d-------- c:\programme\Skype
2008-12-23 12:26 . 2008-12-23 12:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2008-12-23 12:26 . 2009-01-11 22:51 <DIR> d-------- c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Skype
2008-12-23 12:26 . 2008-12-23 12:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-12-17 20:07 . 2008-12-17 20:07 <DIR> d-------- c:\programme\Heirue-Soft
2008-12-17 20:07 . 2008-12-17 20:07 253,952 --------- c:\windoof\Setup1.exe
2008-12-17 20:07 . 2008-12-17 20:07 74,752 --a------ c:\windoof\ST6UNST.EXE
2008-12-16 17:11 . 2009-01-09 22:47 <DIR> d-------- c:\programme\Virtual Lab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 18:07 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Nettalk
2009-01-09 22:20 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-03 21:50 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\teamspeak2
2009-01-01 16:02 0 ----a-w c:\windoof\system32\drivers\lvuvc.hs
2008-12-31 00:53 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Hamachi
2008-12-30 23:36 139,280 ----a-w c:\windoof\system32\drivers\PnkBstrK.sys
2008-12-30 16:51 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Xfire
2008-12-27 20:01 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\ValuSoft
2008-12-21 01:25 --------- d-----w c:\programme\Google
2008-12-11 13:37 31,504 ----a-w c:\windoof\system32\drivers\cmdhlp.sys
2008-12-11 13:37 101,776 ----a-w c:\windoof\system32\drivers\cmdguard.sys
2008-11-25 21:00 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2008-11-22 18:28 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Stellarium
2008-11-22 18:27 --------- d-----w c:\programme\Stellarium
2008-11-19 20:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-11-19 18:00 --------- d-----w c:\programme\Gemeinsame Dateien\Logitech
2008-11-19 17:59 --------- d-----w c:\programme\Logitech
2008-11-19 17:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logitech
2008-11-19 16:54 25,280 ----a-w c:\windoof\system32\drivers\hamachi.sys
2008-11-18 18:59 22,328 ----a-w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\PnkBstrK.sys
2008-11-15 13:08 --------- d-----w c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\dvdcss
2008-10-25 19:41 15,600 ----a-w c:\windoof\gdrv.sys
2008-10-25 19:39 315,392 ----a-w c:\windoof\HideWin.exe
2007-06-17 23:57 163,902 --sha-r c:\windoof\system32\ulhiom.dll
.

------- Sigcheck -------

2007-03-17 19:06 508928 10d53e677a6962b964839073e492c84b c:\windoof\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windoof\system32\ctfmon.exe" [2004-08-03 15360]
"DAEMON Tools Lite"="g:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 1415824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"="c:\windoof\system32\dumprep 0 -k" [X]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"avast!"="g:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"COMODO Internet Security"="g:\programme\Comodo\COMODO Internet Security\cfp.exe" [2008-12-11 1797880]
"PC Suite for Smartphones"="c:\programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" [2007-12-25 548864]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 2095640]
"LVCOMSX"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" [2006-06-26 243248]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 c:\windoof\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2007-06-25 c:\windoof\system32\advpack.dll]
"IE7"="advpack.dll" [2007-06-25 c:\windoof\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 22:34 24576 g:\programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"e:\\Programme\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4X.exe"=
"e:\\Programme\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4XDedicatedServer.exe"=
"e:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"e:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"e:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOOF\\system32\\PnkBstrA.exe"=
"c:\\WINDOOF\\system32\\PnkBstrB.exe"=
"e:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"e:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"e:\\Programme\\sixteen tons entertainment\\Emergency 4\\Em4.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58282:TCP"= 58282:TCP:game1
"12345:UDP"= 12345:UDP:game2
"54321:UDP"= 54321:UDP:game3
"80:TCP"= 80:TCP:game4
"1660:TCP"= 1660:TCP:uoxtmn
"2219:TCP"= 2219:TCP:hdfig
"5705:TCP"= 5705:TCP:hdewbpb
"7199:TCP"= 7199:TCP:nkxgphl
"6781:TCP"= 6781:TCP:tjbwrnd
"9770:TCP"= 9770:TCP:nlrfjnp
"7376:TCP"= 7376:TCP:cwabexwe
"8547:TCP"= 8547:TCP:sualpsn
"4773:TCP"= 4773:TCP:vicqq
"2700:TCP"= 2700:TCP:zlocorpx

R0 hotcore3;hotcore3;c:\windoof\system32\drivers\hotcore3.sys [2008-10-25 40368]
R1 aswSP;avast! Self Protection;c:\windoof\system32\drivers\aswSP.sys [2008-10-25 111184]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windoof\system32\drivers\cmdguard.sys [2008-10-26 101776]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windoof\system32\drivers\cmdhlp.sys [2008-10-26 31504]
R4 aswFsBlk;aswFsBlk;c:\windoof\system32\drivers\aswFsBlk.sys [2008-10-25 20560]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windoof\system32\15.tmp --> c:\windoof\system32\15.tmp [?]
S4 cwbwlxt;Update Driver;c:\windoof\system32\svchost.exe -k netsvcs [2004-08-03 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
cwbwlxt

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{05266f92-aab7-11dd-95f1-000fb572e5b1}]
\Shell\AutoRun\command - K:\CloneCampaigns.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcbcc61c-a38a-11dd-95db-000fb572e5b1}]
\Shell\AutoRun\command - I:\Autorun.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://media.warrock.net/inGameAds/index.html
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\f3uplq04.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: g:\programme\Mozilla Firefox\components\xpinstal.dll
FF - component: g:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 13:12:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windoof\system32\15.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cwbwlxt]
"ServiceDll"="c:\windoof\system32\ulhiom.dll"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-583907252-616249376-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1060)
c:\windoof\system32\Ati2evxx.dll
g:\programme\AlienGUIse\fastload.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windoof\system32\ati2evxx.exe
c:\windoof\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
g:\programme\Alwil Software\Avast4\aswUpdSv.exe
g:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe
c:\programme\Bonjour\mDNSResponder.exe
g:\programme\Comodo\COMODO Internet Security\cmdagent.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windoof\system32\PnkBstrA.exe
c:\windoof\system32\wbem\wmiapsrv.exe
c:\windoof\system32\wscntfy.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-14 13:14:33 - PC wurde neu gestartet [Sebastian]
ComboFix-quarantined-files.txt 2009-01-14 12:14:30

Vor Suchlauf: 8 Verzeichnis(se), 217,212,739,584 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 217,470,283,776 Bytes frei

237
Seitenanfang Seitenende
14.01.2009, 13:46
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Virustotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
VISTA
Öffnen Sie den Explorer und gehen in der oberen linken Ecke auf „Organisieren“.
Wählen Sie den Punkt Ordner und Suchoptionen.
Im Register „Ansicht“ gehen Sie auf
„Versteckte Dateien und Ordner“ und wählen hier, alle Dateien und Ordner anzeigen.
Bestätigen Sie nun mit O.K. um diese Änderung zu übernehmen.

Prüfe mal diese Datei(en) bei Virustotal

Zitat

c:\windoof\system32\ulhiom.dll
Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste die Daten
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus
Seitenanfang Seitenende
14.01.2009, 13:56
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo,

die Seite von Virustotal ist wie Kaspersky und Co. nicht zu erreichen. "Seiten-Ladefehler"

Gibt es einen Weg, anders auf diese Seite bzw. diesen Scanner zu gelangen?
Seitenanfang Seitenende
14.01.2009, 14:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
__________
MfG Argus
Seitenanfang Seitenende