tmp.exe - Virenmeldung beim Browserstart

#1 Hallo zusammen,
Seit einer Weile verfolgte mich folgendes Problem:
Bei dem Start eines Browsers (sowohl Internet Explorer als auch Firefox) sprang jedesmal mein Antivirenprogramm (Avira Antivir) an - mit der der Meldung, das ein Virus / unerwünschtes Programm entdeckt wurde. Dabei handelte es sich jedesmal um eine Datei, die auf tmp.exe endet. Sie ließ sich zwar jedesmal von Antivir in die Quarantäne verschieben, bei jedem Neustart des Browsers wurde allerdings eine tmp.exe mit anderer Zahlenfolge am Anfang generiert. Wenn ich mich nicht täusche - jedesmal in C -> Windows -> Temp. (Wegen des Verzeichnisses bin ich mir leider nicht mehr absolut sicher)

Über den regulären Scan von Antivir und einigen anderes Programmen war allerdings keine Infektion zu entdecken.

Vor meinem Post habe ich mich natürlich erstmal an diese Anleitung gehalten:
http://board.protecus.de/t23187.htm

Malwarebytes wurde schnell fündig und entfernte einige Dateien. Weitere Scans zeigten keine Infektion mehr an.

Das erste Log:
------------
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1999
Windows 5.1.2600 Service Pack 3

18.04.2009 11:16:46
mbam-log-2009-04-18 (11-16-46).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 177771
Laufzeit: 32 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Fly (Spyware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Love (Spyware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Lars\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Spyware.Agent) -> Delete on reboot.
------------

Danach habe ich Combofix ausgeführt - auch das wurde fündig und enfernte einige infizierte Dateien. Direkt danach habe ich einen weiteren Scan durchgeführt, bei dem keine Infektion mehr gemeldet wurde - leider wurde mit dem neuen "sauberen" Log das vorherige Log mit den Infektionsmeldungen überschrieben. Eigenartigerweise meldete Combofix beim Start das Antivir noch in vierfacher (?) Ausführung aktiv wäre, selbst nachdem ich es zwischenzeitlich komplett deinstalliert hatte. Das saubere Log nach dem zweiten Scan hängt an.


Zur Zeit starten IE und Firefox ohne Virenmeldung von Antivir. Ich hoffe, die Infektion ist jetzt beseitigt...

Zuguterletzt noch das HijackThis-Log:
------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:13, on 18.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alias\Maya7.0\docs\wrapper.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alias\Maya7.0\docs\jre\bin\java.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Gemeinsame Dateien\AOL\1157055162\ee\AOLSoftware.exe
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
c:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [IntelliPoint] "c:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1157055162\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://dist.globalgamecdn.com/dist/neffy/NeffyLauncher.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programme\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 6894 bytes
------

#2 Lass mal folgende Datei bei www.virustotal.com/de prüfen:
C:\�—‚Ó‚§�[‚Þƒ�ƒCƒg‘ÌŒ±”Å
Poste das Ergebnis.

>>
Lösche die temp Dateien mit CCleaner

>>
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

DMSKSSRh

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss

#3 Erstmal vielen Dank für die Hilfe.

Zitat

Swisstreasure postete
Lass mal folgende Datei bei www.virustotal.com/de prüfen:
C:\�—‚Ó‚§�[‚Þƒ�ƒCƒg‘ÌŒ±”Å
Poste das Ergebnis.

Dabei handelt es sich um einen Ordner mit japanischem Namen - daher die eigenartige Zeichenfolge. Der Inhalt dürfte harmlos sein.

Zitat

Swisstreasure postete
>>
Lösche die temp Dateien mit [url="http://www.CCleaner.de"]CCleaner[/url]

Erledigt.

Zitat

Swisstreasure postete
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

DMSKSSRh

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

Erledigt, Logs folgen.

Regsearch:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 18.04.2009 18:31:30 for strings:
; 'dmskssrh'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000]
"Service"="DMSKSSRh"
"DeviceDesc"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh]
; Contents of value:
; \??\C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\
55,00,4d,00,45,00,7e,00,31,00,5c,00,4c,00,61,00,72,00,73,00,5c,00,4c,00,4f,\
00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\
44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,00,73,00,79,00,73,00,00,\
00
"DisplayName"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh\Enum]
"0"="Root\\LEGACY_DMSKSSRH\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH\0000]
"Service"="DMSKSSRh"
"DeviceDesc"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh]
; Contents of value:
; \??\C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\
55,00,4d,00,45,00,7e,00,31,00,5c,00,4c,00,61,00,72,00,73,00,5c,00,4c,00,4f,\
00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\
44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,00,73,00,79,00,73,00,00,\
00
"DisplayName"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000]
"Service"="DMSKSSRh"
"DeviceDesc"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh]
; Contents of value:
; \??\C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,44,00,4f,00,4b,00,\
55,00,4d,00,45,00,7e,00,31,00,5c,00,4c,00,61,00,72,00,73,00,5c,00,4c,00,4f,\
00,4b,00,41,00,4c,00,45,00,7e,00,31,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,\
44,00,4d,00,53,00,4b,00,53,00,53,00,52,00,68,00,2e,00,73,00,79,00,73,00,00,\
00
"DisplayName"="DMSKSSRh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh\Enum]
"0"="Root\\LEGACY_DMSKSSRH\\0000"

; End Of The Log...



SDFix:

SDFix: Version 1.240
Run by Lars on 18.04.2009 at 18:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-18 19:04:43
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aolsoftware.exe:*:Enabled:AOL Services"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aim6.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aim6.exe:*:Enabled:AIM"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\RagTime Privat\\RagTime 5.exe"="C:\\Programme\\RagTime Privat\\RagTime 5.exe:*isabledas Werkzeug zur professionellen Dokumentenbearbeitung."
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Thu 28 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Programme\Messenger\msmsgs.exe"
Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Thu 5 Mar 2009 2,260,480 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"

Finished!

#4 >>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL:

Driver::
DMSKSSRh

Files::
C:\DOKUME~1\Lars\LOKALE~1\Temp\DMSKSSRh.sys

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DMSKSSRH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DMSKSSRh]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_DMSKSSRH]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\DMSKSSRh]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSKSSRH]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DMSKSSRh]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

>>
in C:\ComboFix.txt ist alles gespeichert, kopiere es ab und ins Sicherheitsforum

>>
Mach ein Kontrollscan mit Kaspersky und berichte:
http://www.kaspersky.com/de/virusscanner

Gruss Swiss

#5 Nochmals Danke.

Anbei die Logs:

Combofix:

Zitat

ComboFix 09-04-21.01 - Lars 20.04.2009 20:41.3 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.619 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lars\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lars\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DMSKSSRH


((((((((((((((((((((((( Dateien erstellt von 2009-03-20 bis 2009-04-20 ))))))))))))))))))))))))))))))
.

2009-04-18 16:46 . 2009-04-18 16:46 580096 ----a-w c:\windows\system32\dllcache\user32.dll
2009-04-18 16:44 . 2009-04-18 16:44 -------- d-----w c:\windows\ERUNT
2009-04-18 16:40 . 2009-04-18 16:40 -------- d-----w C:\SDFix
2009-04-18 11:12 . 2009-04-18 11:12 -------- d-----w c:\programme\Avira
2009-04-18 11:12 . 2009-04-18 11:12 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-18 08:17 . 2009-04-18 08:17 -------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\Malwarebytes
2009-04-18 08:17 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-18 08:17 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-18 08:17 . 2009-04-18 08:17 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-18 08:17 . 2009-04-18 08:17 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-16 21:08 . 2009-04-16 21:08 -------- d-----w C:\AtHome
2009-04-16 20:59 . 2009-04-16 21:06 96352315 ----a-w C:\athome_trial.exe
2009-04-15 18:55 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 18:55 . 2009-03-06 14:19 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-15 18:55 . 2009-02-09 11:21 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-15 18:55 . 2009-02-09 10:51 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 18:55 . 2009-02-09 10:51 736768 ------w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 18:55 . 2009-02-09 10:51 740352 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 18:55 . 2009-02-09 10:51 678400 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 18:55 . 2009-02-09 10:51 473600 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 18:55 . 2009-02-09 10:51 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 18:53 . 2009-03-27 06:49 1203922 ------w c:\windows\system32\dllcache\sysmain.sdb
2009-04-15 18:53 . 2008-04-21 21:13 217600 ------w c:\windows\system32\dllcache\wordpad.exe
2009-04-15 18:50 . 2009-04-15 18:50 -------- d-----w c:\programme\Trend Micro
2009-04-15 18:41 . 2009-04-15 18:42 -------- d-----w c:\programme\SUPERAntiSpyware
2009-04-15 18:41 . 2009-04-15 18:42 -------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-15 18:22 . 2009-04-15 18:22 -------- d-----w c:\dokumente und einstellungen\Lars\PrivacIE
2009-04-15 18:14 . 2009-04-15 18:14 -------- d-----w c:\dokumente und einstellungen\Lars\IETldCache
2009-04-15 18:10 . 2009-02-20 16:49 78336 ----a-w c:\windows\system32\ieencode.dll
2009-04-15 06:19 . 2009-04-15 06:19 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-04-15 06:17 . 2009-04-15 06:17 -------- d-sh--w C:\FOUND.012
2009-04-15 05:04 . 2009-04-15 05:04 164 ----a-w C:\install.dat
2009-04-15 04:23 . 2009-04-15 04:23 -------- d-----w c:\programme\Trend Micro(2)
2009-04-13 09:10 . 2009-04-13 09:10 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-13 08:59 . 2009-04-13 08:59 -------- d-----w c:\programme\Safer Networking
2009-04-13 08:46 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-03-30 08:27 . 2008-06-19 14:24 28544 ----a-w c:\windows\system32\drivers\pavboot.sys
2009-03-30 08:26 . 2009-03-30 08:26 -------- d-----w c:\programme\Panda Security
2009-03-30 07:22 . 2009-03-30 07:22 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-30 07:22 . 2009-03-30 07:22 -------- d-----w c:\programme\Security Task Manager
2009-03-29 15:26 . 2009-03-29 15:26 -------- d-----w C:\Sysclean
2009-03-29 10:20 . 2009-03-29 10:20 -------- d-----w c:\dokumente und einstellungen\Lars\DoctorWeb
2009-03-29 09:58 . 2009-03-29 09:58 -------- d-----w c:\programme\CleanUp!

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-20 18:45 . 2006-06-12 15:24 18364 ----a-w c:\windows\system32\tablet.dat
2009-04-16 16:34 . 2005-04-28 18:15 77778 ----a-w c:\windows\system32\perfc007.dat
2009-04-16 16:34 . 2005-04-28 18:15 423130 ----a-w c:\windows\system32\perfh007.dat
2009-04-15 18:28 . 2009-04-15 17:40 668 ----a-w C:\aaw7boot.log
2009-03-21 14:06 . 2009-03-21 14:06 1063424 ------w c:\windows\system32\dllcache\kernel32.dll
2009-03-09 03:19 . 2008-12-18 12:50 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:19 . 2005-04-28 18:15 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2005-04-28 19:15 826368 ----a-w c:\windows\system32\dllcache\wininet.dll
2009-03-03 00:03 . 2005-04-28 18:15 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-28 04:54 . 2005-04-28 18:29 636072 ----a-w c:\windows\system32\dllcache\iexplore.exe
2009-02-24 08:02 . 2009-02-24 08:02 -------- d-----w c:\programme\MediaMonkey
2009-02-20 10:20 . 2007-05-09 07:13 13824 ------w c:\windows\system32\dllcache\ieudinit.exe
2009-02-20 10:20 . 2005-04-28 18:15 70656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2009-02-20 05:14 . 2005-04-28 18:15 161792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2009-02-10 17:03 . 2008-10-15 06:32 2068352 ------w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-10 17:03 . 2004-08-03 22:50 2068352 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 13:04 . 2008-10-15 06:31 1846912 ------w c:\windows\system32\dllcache\win32k.sys
2009-02-09 13:04 . 2005-04-28 18:15 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-10-15 06:32 2191360 ------w c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-09 11:21 . 2005-04-28 18:15 2191360 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2008-10-15 06:32 2026496 ------w c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-09 11:21 . 2008-10-15 06:32 2147840 ------w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-09 11:21 . 2005-04-28 18:15 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2005-04-28 18:15 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2005-04-28 18:15 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2005-04-28 18:15 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:51 . 2005-04-28 18:15 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-06 10:39 . 2005-04-28 18:15 35328 ----a-w c:\windows\system32\sc.exe
2009-02-06 10:39 . 2005-04-28 18:15 35328 ----a-w c:\windows\system32\dllcache\sc.exe
2009-02-03 19:57 . 2009-02-03 19:57 56832 ------w c:\windows\system32\dllcache\secur32.dll
2009-02-03 19:57 . 2005-04-28 18:15 56832 ----a-w c:\windows\system32\secur32.dll
2009-01-12 18:29 . 2006-06-09 17:19 59584 ----a-w c:\dokumente und einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-17 16:34 . 2006-11-04 12:08 24192 ----a-w c:\dokumente und einstellungen\Lars\usbsermptxp.sys
2008-03-17 16:34 . 2006-11-04 12:08 22768 ----a-w c:\dokumente und einstellungen\Lars\usbsermpt.sys
2006-11-04 12:10 . 2006-11-04 12:10 9232 ----a-w c:\dokumente und einstellungen\Lars\mqdmmdfl.sys
2006-11-04 12:10 . 2006-11-04 12:10 92064 ----a-w c:\dokumente und einstellungen\Lars\mqdmmdm.sys
2006-11-04 12:10 . 2006-11-04 12:10 79328 ----a-w c:\dokumente und einstellungen\Lars\mqdmserd.sys
2006-11-04 12:10 . 2006-11-04 12:10 66656 ----a-w c:\dokumente und einstellungen\Lars\mqdmbus.sys
2006-11-04 12:10 . 2006-11-04 12:10 6208 ----a-w c:\dokumente und einstellungen\Lars\mqdmcmnt.sys
2006-11-04 12:10 . 2006-11-04 12:10 5936 ----a-w c:\dokumente und einstellungen\Lars\mqdmwhnt.sys
2006-11-04 12:10 . 2006-11-04 12:10 4048 ----a-w c:\dokumente und einstellungen\Lars\mqdmcr.sys
2006-06-09 17:18 . 2006-06-09 17:18 137 ----a-w c:\dokumente und einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-18_10.11.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-20 18:45 . 2009-04-20 18:45 16384 c:\windows\temp\Perflib_Perfdata_694.dat
+ 2009-04-18 11:12 . 2009-02-13 09:50 28376 c:\windows\system32\drivers\ssmdrv.sys
+ 2009-04-18 11:12 . 2009-02-13 12:22 95576 c:\windows\system32\drivers\avipbb.sys
+ 2009-04-18 11:12 . 2009-02-13 09:29 22360 c:\windows\system32\drivers\avgntmgr.sys
+ 2009-04-18 11:12 . 2009-02-13 09:17 45416 c:\windows\system32\drivers\avgntdd.sys
+ 2009-04-18 16:44 . 2009-04-18 16:44 192512 c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2009-04-18 16:44 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-04-18 17:17 . 2009-04-18 17:17 192512 c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2009-04-18 16:44 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-04-18 16:44 . 2009-04-18 16:44 13217792 c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2009-04-18 17:17 . 2009-04-18 17:17 13217792 c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-05-28 528384]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2005-03-17 106496]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-14 32768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"IPHSend"="c:\programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" [2006-02-17 124520]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1157055162\ee\AOLSoftware.exe" [2006-05-23 50760]
"eRecoveryService"="c:\programme\Acer\eRecovery\Monitor.exe" [2005-06-20 352256]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-03-17 67584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
TabUserW.exe.lnk - c:\windows\system32\Wtablet\TabUserW.exe [2003-12-4 77824]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-6-12 110592]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aolsoftware.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aim6.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\RagTime Privat\\RagTime 5.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\DRIVERS\s716bus.sys [2007-04-04 83208]
R3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s716mdfl.sys [2007-04-04 15112]
R3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s716mdm.sys [2007-04-04 108552]
R3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s716mgmt.sys [2007-04-04 100360]
R3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\DRIVERS\s716nd5.sys [2007-04-04 23176]
R3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s716obex.sys [2007-04-04 98568]
R3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\DRIVERS\s716unic.sys [2007-04-04 98952]
R3 XDva092;XDva092; [x]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} - hxxp://dist.globalgamecdn.com/dist/neffy/NeffyLauncher.cab
FF - ProfilePath - c:\dokumente und einstellungen\Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\2uqtiqr5.default\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-20 20:46
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\CyberLink\PowerDVD\5.0]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\CyberLink\PowerDVD\BuildInfo]
@DACL=(02 0000)
@SACL=
"SR_No"="DVD050111-02"
"Setup"="041027"
"UG"="040827"
"RC"="040916a"
"Help"="040827"
"Readme"="040827"
"Skin"="Acer"
"iPower"="040713"
"OLREG"="041130"
"OLREG_RC"="041223"
"Ver"="5.00.2214"
"UI"="2027_Sym"
"Filter(DShow)"="2214_Sym(g)"
"Kernel(Utility)"="1915"
"AVSetting"="2109_SYM"
"Other"="1215"

[HKEY_LOCAL_MACHINE\software\CyberLink\PowerDVD\UserReg]
@DACL=(02 0000)
@SACL=
"SR_No"="DVD050111-02"
"Prod_Name"="PowerDVD"
"Prod_Ver"="5.0"
"CustomerNO"="3612"
"Hardware"="Desktop PC"
"Channel"="OEM"
"RegVType"="OEM 2CH"

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\DependentComponents]
@DACL=(02 0000)
@SACL=
"AvRack"="AvRack"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"91A14B995DF7C0B42ABAA16065968F3A"="c:\\Programme\\Alias\\Maya7.0\\presets\\Ashli\\"

[HKEY_LOCAL_MACHINE\software\muvee Technologies\030625]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\muvee Technologies\muvee SDK - NTI_5]
@DACL=(02 0000)
@SACL=

[HKEY_LOCAL_MACHINE\software\NewTech Infosystems\NTI CD-MakerV7\OEMUrl]
@DACL=(02 0000)
@SACL=
"Home"="http://global.acer.com"

[HKEY_LOCAL_MACHINE\software\Realtek Semiconductor Corp.\Realtek AC'97 Audio]
@DACL=(02 0000)
@SACL=
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(520)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2160)
c:\windows\system32\tabhook.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
c:\programme\JAVA\JRE6\BIN\JQS.EXE
c:\programme\ALIAS\MAYA7.0\DOCS\WRAPPER.EXE
c:\programme\CDBURNERXP\NMSACCESSU.EXE
c:\programme\ALIAS\MAYA7.0\DOCS\JRE\BIN\JAVA.EXE
c:\windows\SYSTEM32\TABLET.EXE
c:\programme\MICROSOFT INTELLIPOINT\DPUPDCHK.EXE
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-20 20:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-20 18:49
ComboFix2.txt 2009-04-18 10:14

Vor Suchlauf: 43 Verzeichnis(se), 20.780.285.952 Bytes frei
Nach Suchlauf: 43 Verzeichnis(se), 20.820.623.360 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
287 --- E O F --- 2009-04-15 20:11

Kapersky Verzeichnis-Scan:

Zitat

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 21. April 2009 00:18:42
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 20/04/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2064236
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\Lars\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 23884
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:17:54

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_610.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Lars\LOKALE~1\Temp\Perflib_Perfdata_8a8.dat Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Lars\LOKALE~1\Temp\Perflib_Perfdata_c3c.dat Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\Lars\LOKALE~1\Temp\Perflib_Perfdata_c44.dat Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Auch kein Fund unter den laufenden Prozessen.

#6 Führe folgendes nochmals durch:

Zitat

Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

DMSKSSRh

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

#7 So siehts aus:

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 21.04.2009 23:53:41 for strings:
; 'dmskssrh'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#8 Und so sollte es auch aussehen

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Du kannst noch Onlinescans machen und schauen ob noch was gefunden wird:
http://virus-protect.org/onlinescan.html

Ansonsten happy Surfing

Gruss swiss