Backdoor BDS/Prorat.U.1

#31 Und wo bleibt HiJackThis?

HAst du bei Malwarebytes das gefundene löschen lassen? Weil bei:
C:\WINDOWS\system32\wextract.exe
dürfte es sich evtl um eine Falschneldung handeln. Falls du die Dateien nicht gelöscht hast, dann lasss die Datei bei www.virustotal.dom/de prüfen.

Gruss Swiss

#32 http://www.virustotal.com/de/analisis/429a1bc4c5f2a9f6e7d5140fa9f3db8b

scheint also nix dran zu sein ^^

und hier der Log von Hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:24, on 06.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235565567938
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c99ac34636bd24) (gupdate1c99ac34636bd24) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

#33 >>
Askbar entfernen
Start -> Einstellungen -> Systemsteuerung -> Software >
Schau ob AskSBar,SrchAstt oder Ask Search Assistant dazwischen steht,entfernen


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

und wähle fix checked.

Starte den Rechner neu.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#34 Da gab es nur "Ask Toolbar", ich habe jetzt das mal gelöscht?

und hier das Log

ComboFix 09-03-04.01 - Lisa 2009-03-07 0:02:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.512.227 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lisa\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-06 bis 2009-03-06 ))))))))))))))))))))))))))))))
.

2009-03-05 14:42 . 2009-03-05 14:43 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-05 14:42 . 2009-03-05 14:42 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Malwarebytes
2009-03-05 14:42 . 2009-03-05 14:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-05 14:42 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-05 14:42 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-04 23:15 . 2009-03-04 23:15 <DIR> d-------- c:\programme\ICQ6Toolbar
2009-03-04 23:15 . 2009-03-04 23:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-03-04 23:13 . 2009-03-04 23:16 <DIR> d-------- c:\programme\ICQ6.5
2009-03-04 22:58 . 2009-03-04 22:58 <DIR> d-------- c:\programme\ICQToolbar
2009-03-04 22:55 . 2009-03-04 22:55 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\InstallShield
2009-03-04 00:27 . 2008-04-13 19:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-03-04 00:25 . 2009-03-04 00:25 <DIR> d-------- c:\programme\MSXML 4.0
2009-03-04 00:13 . 2009-03-04 00:13 <DIR> d-------- c:\windows\Sun
2009-03-02 04:58 . 2009-03-02 05:05 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Nero
2009-03-02 04:33 . 2009-03-02 04:33 4,767 --a------ c:\windows\Irremote.ini
2009-03-02 04:29 . 2009-03-02 04:29 <DIR> d-------- c:\programme\Windows Sidebar
2009-03-02 04:08 . 2009-03-02 04:32 <DIR> d-------- c:\programme\Nero
2009-03-02 04:08 . 2009-03-02 04:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nero
2009-03-02 04:08 . 2009-03-02 04:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-02 00:11 . 2009-03-02 00:13 <DIR> d-------- c:\programme\Google
2009-03-02 00:11 . 2009-03-05 23:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-01 11:16 . 2009-03-01 11:16 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-25 23:20 . 2009-02-25 16:49 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-02-25 18:01 . 2009-03-01 11:16 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-25 18:00 . 2009-03-01 11:16 <DIR> d-------- c:\programme\Java
2009-02-25 18:00 . 2009-02-25 18:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java
2009-02-25 17:50 . 2009-02-25 17:50 <DIR> d-------- c:\programme\CCleaner
2009-02-25 17:41 . 2009-02-25 17:41 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2009-02-25 17:41 . 2009-02-25 17:41 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\TuneUp Software
2009-02-25 17:41 . 2009-02-25 17:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-02-25 17:41 . 2009-02-25 17:41 603,904 --a------ c:\windows\system32\TUProgSt.exe
2009-02-25 17:41 . 2009-02-25 17:41 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2009-02-25 17:41 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll
2009-02-25 17:40 . 2009-02-25 17:40 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-25 17:36 . 2009-03-06 16:14 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\ICQ
2009-02-25 17:06 . 2009-02-25 17:06 <DIR> d-------- c:\programme\Winamp Remote
2009-02-25 17:06 . 2009-02-25 17:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OrbNetworks
2009-02-25 17:03 . 2009-02-25 17:06 <DIR> d-------- c:\programme\Winamp
2009-02-25 17:03 . 2009-02-25 17:07 <DIR> d-------- c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Winamp
2009-02-25 16:49 . 2009-02-25 16:49 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-02-25 16:48 . 2009-02-25 16:48 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-25 16:47 . 2009-02-25 16:47 <DIR> d-------- c:\programme\Lavasoft
2009-02-25 16:47 . 2009-02-25 16:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-25 16:13 . 2009-02-25 16:31 101,287 --a------ c:\windows\system32\drivers\klin.dat
2009-02-25 16:13 . 2009-02-25 16:31 89,601 --a------ c:\windows\system32\drivers\klick.dat
2009-02-25 16:12 . 2009-02-25 16:12 <DIR> d-------- c:\programme\Kaspersky Lab
2009-02-25 16:12 . 2009-03-07 00:06 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-25 16:12 . 2009-03-07 00:06 1,369,120 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-25 16:12 . 2009-03-07 00:05 311,328 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-02-25 16:12 . 2009-03-07 00:06 12,824 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-25 16:12 . 2009-03-07 00:05 2,144 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-02-25 16:05 . 2009-02-25 16:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-02-25 15:59 . 2009-02-25 15:59 1,156 --a------ c:\windows\mozver.dat
2009-02-25 15:52 . 2009-02-25 15:52 0 --a------ c:\windows\nsreg.dat
2009-02-25 15:29 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-25 15:29 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-25 15:29 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-25 15:29 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-25 15:29 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-25 15:29 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-25 15:29 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-25 15:29 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-25 15:29 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-25 15:08 . 2009-02-25 15:29 <DIR> d-------- c:\windows\system32\de-de
2009-02-25 15:08 . 2009-02-25 15:08 <DIR> d-------- c:\windows\system32\de
2009-02-25 15:08 . 2009-02-25 15:08 <DIR> d-------- c:\windows\system32\bits
2009-02-25 15:08 . 2009-02-25 15:08 <DIR> d-------- c:\windows\l2schemas
2009-02-25 14:57 . 2008-09-10 02:13 1,307,648 --a------ c:\windows\system32\msxml6.dll
2009-02-25 14:46 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-25 14:46 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-25 14:46 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-25 14:46 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-25 14:46 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-25 14:34 . 2009-02-25 14:34 1,374 --a------ c:\windows\system32\wpa.bak
2009-02-25 14:31 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-25 14:31 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-02-25 14:28 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-25 14:27 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-25 14:27 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-02-25 14:26 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-02-25 14:26 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-25 13:55 . 2009-02-25 13:55 <DIR> d-------- c:\windows\system32\LogFiles
2009-02-25 13:43 . 2009-02-25 18:20 <DIR> d--h----- c:\windows\$hf_mig$
2009-02-25 13:40 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-02-25 13:40 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-02-25 13:40 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-02-25 13:40 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-02-25 13:40 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-02-25 13:38 . 2009-02-25 13:38 <DIR> d--hs---- c:\dokumente und einstellungen\Lisa\UserData
2009-02-25 13:07 . 2009-02-25 13:07 <DIR> d-------- c:\programme\ZyXEL Communications Corporation
2009-02-25 13:07 . 2005-08-16 14:50 278,016 --a------ c:\windows\system32\drivers\ZD1211U.sys
2009-02-25 13:07 . 2004-01-14 11:25 81,920 --a------ c:\windows\system32\ZDPN50.dll
2009-02-25 13:07 . 2004-10-28 19:24 36,352 --a------ c:\windows\system32\uninst_Zyxel.exe
2009-02-25 13:07 . 2004-03-23 16:38 28,672 --a------ c:\windows\system32\InsDrvZD.dll
2009-02-25 13:07 . 2003-03-14 12:24 24,576 --a------ c:\windows\system32\ZyDelReg.exe
2009-02-25 13:07 . 2004-01-14 11:30 17,151 --a------ c:\windows\system32\ZDPNDIS5.sys
2009-02-25 13:07 . 2005-07-12 14:44 15,872 --a------ c:\windows\system32\InsDrvZD64.dll
2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PROXGB
2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PRO1000
2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PRO100
2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\PLATFORM
2009-02-24 15:49 . 2009-02-24 15:49 <DIR> d-------- C:\APPS
2009-02-23 02:38 . 2009-02-25 16:49 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-02-23 02:38 . 2006-10-27 16:26 69,632 --a------ c:\windows\system32\vuins32.dll
2009-02-23 02:38 . 2008-12-04 15:18 43,520 --a------ c:\windows\system32\drivers\fetnd5bv.sys
2009-02-23 02:18 . 2006-10-09 12:58 203,648 -ra------ c:\windows\system32\drivers\vinyl97.sys
2009-02-23 02:18 . 2008-04-13 19:45 172,416 --a------ c:\windows\system32\drivers\kmixer.sys
2009-02-23 02:18 . 2008-04-13 20:19 146,048 --a------ c:\windows\system32\drivers\portcls.sys
2009-02-23 02:18 . 2008-04-13 17:39 142,592 --a------ c:\windows\system32\drivers\aec.sys
2009-02-23 02:18 . 2008-04-13 20:17 83,072 --a------ c:\windows\system32\drivers\wdmaud.sys
2009-02-23 02:18 . 2008-04-13 20:15 60,800 --a------ c:\windows\system32\drivers\sysaudio.sys
2009-02-23 02:18 . 2008-04-13 19:45 60,160 --a------ c:\windows\system32\drivers\drmk.sys
2009-02-23 02:18 . 2008-04-13 19:45 56,576 --a------ c:\windows\system32\drivers\swmidi.sys
2009-02-23 02:18 . 2008-04-13 19:45 52,864 --a------ c:\windows\system32\drivers\dmusic.sys
2009-02-23 02:18 . 2008-04-13 19:45 6,272 --a------ c:\windows\system32\drivers\splitter.sys
2009-02-23 02:18 . 2008-04-13 19:45 2,944 --a------ c:\windows\system32\drivers\drmkaud.sys
2009-02-23 02:17 . 2009-02-23 02:18 <DIR> d-------- c:\programme\VIA
2009-02-23 02:17 . 2006-11-02 07:21 319,456 --a------ c:\windows\system32\difxapi.dll
2009-02-23 02:16 . 2009-02-25 17:36 <DIR> d--h----- c:\programme\InstallShield Installation Information
2009-02-23 02:16 . 2009-02-23 02:16 <DIR> d-------- c:\programme\ATI Technologies
2009-02-23 02:16 . 2006-05-03 11:57 520,192 --------- c:\windows\system32\ati2sgag.exe
2009-02-23 02:15 . 2009-02-25 13:06 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield
2009-02-23 02:15 . 2009-02-23 02:15 <DIR> d-------- C:\ATI
2009-02-22 20:04 . 2009-02-22 20:04 <DIR> d-------- c:\programme\Lavalys
2009-02-22 03:01 . 2008-04-13 19:46 85,248 --a------ c:\windows\system32\drivers\nabtsfec.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-25 15:31 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-02-22 01:17 --------- d-----w c:\dokumente und einstellungen\Lisa\Anwendungsdaten\MSN6
2009-02-22 01:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2009-02-22 01:09 --------- d-----w c:\programme\microsoft frontpage
2009-02-22 01:04 --------- d-----w c:\programme\Online-Dienste
2009-02-22 01:03 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Orb"="c:\programme\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe" [2006-11-02 528384]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-25 206088]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-25 509784]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-01 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
ZyXEL G-220 Utility GUI.lnk - c:\programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2009-02-25 1318912]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\german\\setup.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-25 64160]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2009-03-04 222456]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-02-25 603904]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\drivers\ZD1211U.sys [2009-02-25 278016]
S2 gupdate1c99ac34636bd24;Google Update Service (gupdate1c99ac34636bd24);c:\programme\Google\Update\GoogleUpdate.exe [2009-03-02 133104]
S3 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-06-01 34064]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-03-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]

2009-02-25 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-25 16:49]

2009-03-06 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-02 00:11]

2009-03-06 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-02 00:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
FF - ProfilePath - c:\dokumente und einstellungen\Lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\q46sanm3.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1508.6312\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 00:08:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1212)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-07 0:10:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-06 23:10:14

Vor Suchlauf: 15 Verzeichnis(se), 69.752.057.856 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 71,810,658,304 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

252 --- E O F --- 2009-03-03 23:25:51

#35 >>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html


Gruss Swiss

#36 Wenn ich mit Eset scannen will, stürzt andauernd der Internet Explorer ab und als ich mit Bitdefender gescannt habe, kam "3 Viren gefunden" und dann ist der Rechner abgestürzt. Ich habe dann nochmal mit Bitdefender gescannt und dann kam dass keine Viren gefunden wurden.

Prüf-Info
Geprüfte Dateien 42648
Infizierte Dateien 0

Erkannte Viren
Keine Viren gefunden

und was heißt das jetzt? Wie kommen die überhaupt auf meinen PC obwohl er formatiert wurde??

#37 Das kann viele Gründe haben, kurz mal ohne Schutz ins Interet oder schon wieder was falsches installiert. Tretten noch Probleme auf jetzt?

Gruss Swiss

#38 Naja, der PC ist eben total langsam, hängt sich auf, stürtzt ab etc. kurz nach dem ich formatiert habe war das nicht so, da liefs ne Zeit lang ganz gut. Aber seit dem die Sachen da gefunden wurden hängt das alles wieder total.

Vielleicht ist der PC auch einfach reif für die Müllhalde ^^

gibts sonst noch was, was man machen könnte um den wieder normal zu bekommen?

#39 Man kann seinen PC neu installiern und ist kurze Zeit später wieder rettungslos verseucht. Man sollte sich mal mit ein paar Seiten beschäftigen, um den Kreislauf zu beenden:
- http://cidres-security.de/neuaufsetzen.html
- http://www.comsafe.de/
- http://www.bsi-fuer-buerger.de/

Felix
__________
Keine Anfragen per E-Mail und PN!

#40 Ja, das habe ich ja alles gemacht..

Ad Aware hat das gefunden

"C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE"
"C:\WINDOWS\ERDNT\subs\ERDNT.EXE"
"C:\WINDOWS\NRCMD.exe"
"C:\WINDOWS\SWREG.exe"
"C:\WINDOWS\SWSC.exe"

Das würde mich doch mal brennend interessieren wie die Sachen auf meinen Rechner kommen. So viel mache ich an dem PC nicht und rundergeladen etc. habe ich kaum was.

Was ist dieses ERDNT?

#41 Unter C:\WINDOWS\ERDNT wird das Backup von Combofix abgelegt.

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Mach noch Onlinescans und schau ob noch was gefunden wird:
http://virus-protect.org/onlinescan.html

Zitat

Das würde mich doch mal brennend interessieren wie die Sachen auf meinen Rechner kommen. So viel mache ich an dem PC nicht und rundergeladen etc. habe ich kaum was.

Das weiss Gott.

Gruss Swiss