Notebook wird sehr langsam. Verdacht auf Spyware

#1 1.
Problembeschreibung / Symptome ?

Naja, das ist das Notebook meiner Mutter. So detailliert kann ich das deswegen nicht beschreiben. Auf jeden Fall wird alles immer sehr langsam und es dauert manchmal Minuten bis sich ein fenster öffnet oder schließt. Manchmal hilft dann nur noch der Neustart.

2.
Temporäre Dateien beseitigen

Hab ich gemacht

3.
mache einen Scan mit Malwarebytes -

Zitat

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1712
Windows 5.1.2600 Service Pack 2

31.01.2009 21:03:43
mbam-log-2009-01-31 (21-03-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50408
Laufzeit: 9 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Desktop\Services.URL (Heuristics.Reserved.Word.Exploit) -> No action taken.

4.
Combofix

Zitat

ComboFix 09-01-31.01 - Viola 2009-01-31 22:17:06.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.219 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Viola\Desktop\ComboFix.exe
AV: Norton Internet Security Online *On-access scanning disabled* (Updated)
FW: Norton Internet Security Online *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 ))))))))))))))))))))))))))))))
.

2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\Viola\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-31 20:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-24 21:35 . 2009-01-24 21:37 <DIR> d-------- c:\dokumente und einstellungen\Viola\.housecall6.6
2009-01-19 16:31 . 2009-01-19 16:31 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 21:19 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-31 19:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-01-28 07:07 24,918 ----a-w c:\dokumente und einstellungen\Viola\Anwendungsdaten\wklnhst.dat
2009-01-20 07:29 --------- d-----w c:\dokumente und einstellungen\Viola\Anwendungsdaten\AdobeUM
2009-01-19 15:31 --------- d-----w c:\programme\Java
2009-01-13 06:04 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF
2009-01-13 06:04 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL
2009-01-13 06:04 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-13 06:04 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-13 06:04 --------- d-----w c:\programme\Symantec
2008-12-17 06:51 --------- d-----w c:\programme\eMule.de 0.48a v18
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]
"HotKey"="c:\windows\Twain_32\FlatBed\HotKey.exe" [2003-04-04 606208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"SAFE2007 HotKeys"="c:\programme\Steganos Safe 2007\SteganosHotKeyService.exe" [2007-03-29 25088]
"SAFE2007 File Redirection Starter"="c:\programme\Steganos Safe 2007\fredirstarter.exe" [2007-03-29 53248]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-10-03 155648]
"AGRSMMSG"="AGRSMMSG.exe" [2004-09-03 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5100:TCP"= 5100:TCP:messi

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];c:\windows\system32\drivers\slee13.sys [2005-10-04 16:42:36 74240]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\drivers\avmbtpar.sys [2005-08-06 60288]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\drivers\avmbtser.sys [2005-08-06 61056]
R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [2005-08-06 49664]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [2005-08-06 53248]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\drivers\bfhu_cfg.sys [2004-11-26 6656]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\drivers\capi_cip.sys [2005-08-06 374144]
R3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2007-05-29 23888]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-01-24 99376]
R4 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\CCSVCHST.EXE [2007-08-25 149352]
S3 bfubase;BlueFRITZ! USB (WinXP/2000);c:\windows\system32\drivers\bfubase.sys [2005-08-06 830240]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\drivers\netbfpan.sys [2005-08-06 32330]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S4 ACDZone;ArchiCrypt SecureDZone Driver;\??\c:\windows\system32\drivers\ACDZone.sys --> c:\windows\system32\drivers\ACDZone.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{464e8ced-3c1b-11da-a86a-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63337f6e-cd84-11dc-9a1c-001195fb2133}]
\Shell\Auto\command - ...\help.exe o_disk
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ...\help.exe o_disk
\Shell\explore\Command - ...\help.exe o_disk
\Shell\open\Command - ...\help.exe o_disk

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5105-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5107-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe510b-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-08 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Viola.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-SSS6_Suite - c:\programme\Steganos Security Suite 6\sss.exe
HKCU-Run-SSS6_SAFE - c:\programme\Steganos Security Suite 6\safe.exe
HKCU-Run-SSS6_SPM - c:\programme\Steganos Security Suite 6\spm.exe
HKU-Default-Run-SSS6_Suite - c:\programme\Steganos Security Suite 6\sss.exe
HKU-Default-Run-SSS6_SAFE - c:\programme\Steganos Security Suite 6\safe.exe
HKU-Default-Run-SSS6_SPM - c:\programme\Steganos Security Suite 6\spm.exe
HKU-Default-RunOnce-SSS2006 - c:\programme\Steganos Security Suite 2006\SSS2006.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
mStart Page = hxxp://de.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: { - c:\programme\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 22:19:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????8?0?4?5??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-31 22:21:27
ComboFix-quarantined-files.txt 2009-01-31 21:21:25

Vor Suchlauf: 18 Verzeichnis(se), 41.946.689.536 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 41,942,388,736 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

161

5.
Erstellen eines Hijackthis-Logfiles

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:32:47, on 31.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Steganos Safe 2007\SteganosHotKeyService.exe
C:\Programme\Steganos Safe 2007\fredirstarter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [SAFE2007 HotKeys] "C:\Programme\Steganos Safe 2007\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFE2007 File Redirection Starter] "C:\Programme\Steganos Safe 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 8760 bytes

6.
Erstellen einer Uninstall Liste

Zitat

Adobe Acrobat - Reader 6.0.2 Update
Adobe Acrobat and Reader 6.0.3 Update
Adobe Flash Player 9 ActiveX
Adobe Reader 6.0.1 - Deutsch
Agere Systems AC'97 Modem
AppCore
Athlon 64 Processor Driver
Canon iP4300
Canon iP4300 Benutzerregistrierung
Canon Setup Utility 2.3
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
ccCommon
CD-LabelPrint
Component Framework
Creative DVD Audio Plugin for Audigy Series
Der Schreibtrainer 3.7
Easy-WebPrint
eMule
eMule.de 0.48a v18
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Infothek kompakt
InterActual Player
InterVideo WinDVD
InterVideo WinDVD 6
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
LiveUpdate (Symantec Corporation)
LiveUpdate (Symantec Corporation)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft Office Professional Edition 2003
Microsoft Picture It! Foto Premium 9
Microsoft Visual C++ 2005 Redistributable
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
MSXML 4.0 SP2 (KB927978)
Norton AntiVirus
Norton AntiVirus Help
Norton Confidential Core
Norton Internet Security
Norton Internet Security Online (Symantec Corporation)
Norton Protection Center
NVIDIA GART Driver
NVIDIA Windows 2000/XP Display Drivers
PCI 1620 Cardbus Controller and Software
PowerQuest PartitionMagic 8.0
Quick Launch Buttons 5.00 C1
QuickTime
Setup-Start von Microsoft Works 2004
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893066)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896422)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB896688)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899588)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB903235)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB905915)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB908531)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912812)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913446)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB916281)
Sicherheitsupdate für Windows XP (KB917159)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922760)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB925486)
Skill Builder DX
SkillSpace ECDL 2000 Modul 1-7
Sonic RecordNow!
Sonic Update Manager
SoundMAX
SPBBC 32bit
Steganos Safe 2007
Steganos Tuning 7.1.30
Update für Windows XP (KB894391)
Update für Windows XP (KB896727)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
USB Scanner
WinAce Archiver
Windows Installer 3.1 (KB893803)
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893086
XP-Clean
Yahoo! Messenger
Yahoo! Toolbar

Könnt ihr mir bitte helfen? Danke vorab für eure Mühe!

#2 Anscheinend wurde ein Infizierter USB-stick oder USB produkt benutzt


cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63337f6e-cd84-11dc-9a1c-001195fb2133}]

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus

#3 Danke, mach ich sofort.

*edit*

Combifix läuft grad auf dem infizierten Rechner nach Argus´Beschreibung.

Zitat

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix startet.
Combofix noch mal anwenden
danach ein zweites mal ganz normal starten?
poste dann nach Neustart das neue Log
Rechner neustarten und combofix ein drittes mal anwenden um einen log nach dem Neustart zu erhalten?

#4 >>
Du hast einen verseuchten USB Stick benutzt.

wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Du solltest jetzt auf dem Desktop diese Datei cfscript.txt finden.

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63337f6e-cd84-11dc-9a1c-001195fb2133}]

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix noch mal an und poste das Log.

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>>
Lade Agentransack und gib unter DATEINAME folgendes ein:
help.exe
(Ich weiss nicht ob es unter Vista funktioniert)

Gruss Swiss

#5

Zitat

benni3 postete
Danke, mach ich sofort.

*edit*

Combifix läuft grad auf dem infizierten Rechner nach Argus´Beschreibung.

Zitat

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix startet. 1
Combofix noch mal anwenden
danach ein zweites mal ganz normal starten? 2
poste dann nach Neustart das neue Log
Rechner neustarten und combofix ein drittes mal anwenden um einen log nach dem Neustart zu erhalten? 3

hier die 3 logs:

Zitat

ComboFix 09-01-31.01 - Viola 2009-02-01 0:58:29.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.192 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Viola\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Viola\Desktop\CFScript.txt
AV: Norton Internet Security Online *On-access scanning disabled* (Updated)
FW: Norton Internet Security Online *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 ))))))))))))))))))))))))))))))
.

2009-01-31 22:28 . 2009-01-31 22:30 <DIR> d-------- c:\programme\Trend Micro
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\Viola\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-31 20:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-24 21:35 . 2009-01-24 21:37 <DIR> d-------- c:\dokumente und einstellungen\Viola\.housecall6.6
2009-01-19 16:31 . 2009-01-19 16:31 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 21:19 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-31 19:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-01-28 07:07 24,918 ----a-w c:\dokumente und einstellungen\Viola\Anwendungsdaten\wklnhst.dat
2009-01-20 07:29 --------- d-----w c:\dokumente und einstellungen\Viola\Anwendungsdaten\AdobeUM
2009-01-19 15:31 --------- d-----w c:\programme\Java
2009-01-13 06:04 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF
2009-01-13 06:04 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL
2009-01-13 06:04 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-13 06:04 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-13 06:04 --------- d-----w c:\programme\Symantec
2008-12-17 06:51 --------- d-----w c:\programme\eMule.de 0.48a v18
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]
"HotKey"="c:\windows\Twain_32\FlatBed\HotKey.exe" [2003-04-04 606208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"SAFE2007 HotKeys"="c:\programme\Steganos Safe 2007\SteganosHotKeyService.exe" [2007-03-29 25088]
"SAFE2007 File Redirection Starter"="c:\programme\Steganos Safe 2007\fredirstarter.exe" [2007-03-29 53248]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-10-03 155648]
"AGRSMMSG"="AGRSMMSG.exe" [2004-09-03 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5100:TCP"= 5100:TCP:messi

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];c:\windows\system32\drivers\slee13.sys [2005-10-04 16:42:36 74240]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\drivers\avmbtpar.sys [2005-08-06 60288]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\drivers\avmbtser.sys [2005-08-06 61056]
R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [2005-08-06 49664]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [2005-08-06 53248]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\drivers\bfhu_cfg.sys [2004-11-26 6656]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\drivers\capi_cip.sys [2005-08-06 374144]
R3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2007-05-29 23888]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-01-24 99376]
R4 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\CCSVCHST.EXE [2007-08-25 149352]
S3 bfubase;BlueFRITZ! USB (WinXP/2000);c:\windows\system32\drivers\bfubase.sys [2005-08-06 830240]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\drivers\netbfpan.sys [2005-08-06 32330]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S4 ACDZone;ArchiCrypt SecureDZone Driver;\??\c:\windows\system32\drivers\ACDZone.sys --> c:\windows\system32\drivers\ACDZone.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{464e8ced-3c1b-11da-a86a-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5105-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5107-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe510b-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-08 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Viola.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
mStart Page = hxxp://de.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: { - c:\programme\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-01 01:00:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????8?0?4?5??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-01 1:02:02
ComboFix-quarantined-files.txt 2009-02-01 00:02:00
ComboFix2.txt 2009-01-31 21:21:31

Vor Suchlauf: 18 Verzeichnis(se), 43.694.944.256 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 43,686,760,448 Bytes frei

140

log2

Zitat

ComboFix 09-01-31.01 - Viola 2009-02-01 1:07:08.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.204 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Viola\Desktop\ComboFix.exe
AV: Norton Internet Security Online *On-access scanning disabled* (Updated)
FW: Norton Internet Security Online *enabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-01 bis 2009-02-01 ))))))))))))))))))))))))))))))
.

2009-01-31 22:28 . 2009-01-31 22:30 <DIR> d-------- c:\programme\Trend Micro
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\Viola\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-31 20:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-24 21:35 . 2009-01-24 21:37 <DIR> d-------- c:\dokumente und einstellungen\Viola\.housecall6.6
2009-01-19 16:31 . 2009-01-19 16:31 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 21:19 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-31 19:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-01-28 07:07 24,918 ----a-w c:\dokumente und einstellungen\Viola\Anwendungsdaten\wklnhst.dat
2009-01-20 07:29 --------- d-----w c:\dokumente und einstellungen\Viola\Anwendungsdaten\AdobeUM
2009-01-19 15:31 --------- d-----w c:\programme\Java
2009-01-13 06:04 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF
2009-01-13 06:04 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL
2009-01-13 06:04 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-13 06:04 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-13 06:04 --------- d-----w c:\programme\Symantec
2008-12-17 06:51 --------- d-----w c:\programme\eMule.de 0.48a v18
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]
"HotKey"="c:\windows\Twain_32\FlatBed\HotKey.exe" [2003-04-04 606208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"SAFE2007 HotKeys"="c:\programme\Steganos Safe 2007\SteganosHotKeyService.exe" [2007-03-29 25088]
"SAFE2007 File Redirection Starter"="c:\programme\Steganos Safe 2007\fredirstarter.exe" [2007-03-29 53248]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-10-03 155648]
"AGRSMMSG"="AGRSMMSG.exe" [2004-09-03 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5100:TCP"= 5100:TCP:messi

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];c:\windows\system32\drivers\slee13.sys [2005-10-04 16:42:36 74240]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\drivers\avmbtpar.sys [2005-08-06 60288]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\drivers\avmbtser.sys [2005-08-06 61056]
R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [2005-08-06 49664]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [2005-08-06 53248]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\drivers\bfhu_cfg.sys [2004-11-26 6656]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\drivers\capi_cip.sys [2005-08-06 374144]
R3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2007-05-29 23888]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-01-24 99376]
R4 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\CCSVCHST.EXE [2007-08-25 149352]
S3 bfubase;BlueFRITZ! USB (WinXP/2000);c:\windows\system32\drivers\bfubase.sys [2005-08-06 830240]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\drivers\netbfpan.sys [2005-08-06 32330]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S4 ACDZone;ArchiCrypt SecureDZone Driver;\??\c:\windows\system32\drivers\ACDZone.sys --> c:\windows\system32\drivers\ACDZone.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{464e8ced-3c1b-11da-a86a-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5105-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5107-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe510b-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-08 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Viola.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
mStart Page = hxxp://de.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: { - c:\programme\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-01 01:08:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????8?0?4?5??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-01 1:09:38
ComboFix-quarantined-files.txt 2009-02-01 00:09:36
ComboFix2.txt 2009-02-01 00:02:06
ComboFix3.txt 2009-01-31 21:21:31

Vor Suchlauf: 18 Verzeichnis(se), 43.693.752.320 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 43,684,298,752 Bytes frei

139

log3

Zitat

ComboFix 09-01-31.01 - Viola 2009-02-01 1:16:58.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.248 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Viola\Desktop\ComboFix.exe
AV: Norton Internet Security Online *On-access scanning disabled* (Updated)
FW: Norton Internet Security Online *enabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-01 bis 2009-02-01 ))))))))))))))))))))))))))))))
.

2009-01-31 22:28 . 2009-01-31 22:30 <DIR> d-------- c:\programme\Trend Micro
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\Viola\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-31 20:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-31 20:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-31 20:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-24 21:35 . 2009-01-24 21:37 <DIR> d-------- c:\dokumente und einstellungen\Viola\.housecall6.6
2009-01-19 16:31 . 2009-01-19 16:31 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-31 21:19 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-31 19:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-01-28 07:07 24,918 ----a-w c:\dokumente und einstellungen\Viola\Anwendungsdaten\wklnhst.dat
2009-01-20 07:29 --------- d-----w c:\dokumente und einstellungen\Viola\Anwendungsdaten\AdobeUM
2009-01-19 15:31 --------- d-----w c:\programme\Java
2009-01-13 06:04 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF
2009-01-13 06:04 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL
2009-01-13 06:04 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-13 06:04 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT
2009-01-13 06:04 --------- d-----w c:\programme\Symantec
2008-12-17 06:51 --------- d-----w c:\programme\eMule.de 0.48a v18
.

((((((((((((((((((((((((((((( snapshot@2009-01-31_22.20.25,89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-01 00:13:36 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_724.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-08 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]
"HotKey"="c:\windows\Twain_32\FlatBed\HotKey.exe" [2003-04-04 606208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"SAFE2007 HotKeys"="c:\programme\Steganos Safe 2007\SteganosHotKeyService.exe" [2007-03-29 25088]
"SAFE2007 File Redirection Starter"="c:\programme\Steganos Safe 2007\fredirstarter.exe" [2007-03-29 53248]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-10-03 155648]
"AGRSMMSG"="AGRSMMSG.exe" [2004-09-03 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5100:TCP"= 5100:TCP:messi

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];c:\windows\system32\drivers\slee13.sys [2005-10-04 16:42:36 74240]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\drivers\avmbtpar.sys [2005-08-06 60288]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\drivers\avmbtser.sys [2005-08-06 61056]
R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [2005-08-06 49664]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [2005-08-06 53248]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\drivers\bfhu_cfg.sys [2004-11-26 6656]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\drivers\capi_cip.sys [2005-08-06 374144]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-01-24 99376]
R4 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\CCSVCHST.EXE [2007-08-25 149352]
S3 bfubase;BlueFRITZ! USB (WinXP/2000);c:\windows\system32\drivers\bfubase.sys [2005-08-06 830240]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2007-05-29 23888]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\drivers\netbfpan.sys [2005-08-06 32330]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S4 ACDZone;ArchiCrypt SecureDZone Driver;\??\c:\windows\system32\drivers\ACDZone.sys --> c:\windows\system32\drivers\ACDZone.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{464e8ced-3c1b-11da-a86a-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5105-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe5107-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5fe510b-3c21-11da-a86b-00040e832293}]
\Shell\AutoRun\command - F:\Setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-08 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Viola.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig?hl=de
mStart Page = hxxp://de.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: { - c:\programme\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-01 01:19:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????8?0?4?5??????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-01 1:21:01
ComboFix-quarantined-files.txt 2009-02-01 00:20:59
ComboFix2.txt 2009-02-01 00:09:41
ComboFix3.txt 2009-02-01 00:02:06
ComboFix4.txt 2009-01-31 21:21:31

Vor Suchlauf: 18 Verzeichnis(se), 43.692.548.096 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 43,682,643,968 Bytes frei

144

Wenn ich das richtig verstanden habe hat Tonstudio das gleiche gesagt. Nur, dass ich zusätzlich noch den infizierten Stick säbern soll oder?

Und das mit datfindbat. das würde ich nach einem kurzen feedback dann auch noch machen.

Kann das auch anstelle des Sticks eine infizierte externe Festplatte gewesen sein? an dem lappi steigt die externe HDD auch manchmal kurz aus als wenn der USB Stecker einen Wackelkontakt hätte.

Könnt ihr mit den logs so schon etwas anfangen? Meine Mom schläft und ich komm jetzt nicht an ihre USB Sticks ran. Allerdings tauschen wir auch untereinander und ich würde dann mal meine alle checken.

#6 Ich würde gerne diesen Rechner als Versuchskaninchen benutzen
Lada mal RAV (Anhang) herunter und scanne diesen Lappi oder deins und melde mal ob was gefunden wurde
__________
MfG Argus

#7 können wir das morgen machen? Meine Freundin drängelt jetzt rum, dass ich ins bett kommen soll^^.

Danke schonmal für die Hilfe, wir können die Kiste hier morgen gern als Versuchskaninchen nutzen.

#8
__________
MfG Argus

#9 So, Guten Morgen! Ich bin wieder da und lass jetzt mal RAV durchlaufen.

*edit* ist das normal, dass das sehr lange dauert?
der Balken unten geht hin und her und daneben steht "Your computer is clean"

Hatte nach 1,5 Stunden mal abgebrochen und dann aber nochmal neu suchen lassen.

#10 Und was passiert mit ein USB-stick eingestöpselt?
__________
MfG Argus

#11 Hab noch keinen USB Stick drin. RAV läuft jetzt immernoch. (seit 3 Stunden)
Soll ich abbrechen und mal mit USB Stick laufen lassen?

Wenn ja, für wie lange? Ich hab ja mehrere Sticks die ich testen könnte.

*edit*Ok, hab jetzt erst gerafft, wie RAV funzt. der dritte Stick war infiziert.
Ich starte den Anderen Rechner neu ond poste dann das Ergebnis.

*edit2*
virus found e:/autorun.inf
virus found in memory e:/autorun.inf
virus deleted successfully e:/autorun.inf
virus deleted successfully

ich teste den stick jetzt nochmal, danach häng ich ne externe HDD mal dran.

#12 Ich denke das RAV dazu benutzt wird um vorher die Sticks zu überprüfen ob die nicht infiziert sind

Benutze nachher das Tool wie von Tonstudio beschrieben
http://board.protecus.de/t36072.htm#315019
__________
MfG Argus

#13 Also bei Flash_Disinfector gab es am Ende kein Log. Nur die Meldung "DONE"

Ich werd jetzt die weiteren Schritte durchführen (CCleander, datfind.bat)

*edit* datfind.bat
Verzeichnis von c:\

01.02.2009 19:28 0 dirdat.txt
01.02.2009 17:07 172 curr_ver.tmp
01.02.2009 16:46 535.875.584 hiberfil.sys
01.02.2009 16:46 805.306.368 pagefile.sys
01.02.2009 01:21 9.845 ComboFix.txt
31.01.2009 22:16 281 boot.ini


Verzeichnis von C:\WINDOWS\system32

01.02.2009 16:47 1.158 wpa.dbl
19.01.2009 16:46 191 oeminfo.ini
19.01.2009 16:46 22.198 OEMLogo.bmp
19.01.2009 16:31 148.888 javaws.exe
19.01.2009 16:31 144.792 javaw.exe
19.01.2009 16:31 73.728 javacpl.cpl
19.01.2009 16:31 144.792 java.exe
19.01.2009 16:31 410.984 deploytk.dll
13.01.2009 07:04 60.808 S32EVNT1.DLL
26.10.2008 11:50 383.588 perfh009.dat
26.10.2008 11:50 53.942 perfc009.dat
26.10.2008 11:50 64.994 perfc007.dat
26.10.2008 11:50 395.074 perfh007.dat
26.10.2008 11:50 906.376 PerfStringBackup.INI
21.10.2008 14:29 6.944 jupdate-1.6.0_07-b06.log



Verzeichnis von C:\WINDOWS

01.02.2009 16:47 159 wiadebug.log
01.02.2009 16:46 1.353.047 WindowsUpdate.log
01.02.2009 16:46 50 wiaservc.log
01.02.2009 16:46 2.048 bootstat.dat
01.02.2009 16:44 32.620 SchedLgU.Txt
01.02.2009 01:19 227 system.ini
21.10.2008 13:41 657 explorer.exe.manifest


Verzeichnis von C:\DOKUME~1\Viola\LOKALE~1\Temp

01.02.2009 19:15 62 null
01.02.2009 16:52 246 jusched.log
01.02.2009 16:48 16.384 Perflib_Perfdata_91c.dat

*edit2*

Agent Ransack hat 3 help.exe Dateien gefunden.

MSOHELP.EXE C:\Programme\Microsoft Office\office11\1031\MSOHELP.EXE
winhelp.exe C:\Windows\
help.exe C:\Windows\system32\

#14 >>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\Windows\system32\help.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Grus Swiss

#15 RAV darfst du behalten hat seine Arbeit gut gemacht

Entferne via Software
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
__________
MfG Argus