"9129837.exe": wie Trojanisches Pferd beseitigen?

#1 Offenbar hat sich bei mir ein Trojanisches Pferd eingeschlichen, das hier: "9129837.exe". Die Datei wird von AntiVir als solches angezeigt, als "TR/Rootkit.Gen".

AntiVir lokalisiert es - habe es in Quarantäne verschoben - in C:\Windows\new_drv.sys. Kann dort nun keine Dateien / Ordner / Rückstände finden ("versteckte Ordner / Dateien anzeigen" ist aktiviert).

Offenbar hat das letzte Hochstarten wesentlich länger gedauert, auch die Zeit, bis die von mir aufgerufenen Programme gestartet waren, war wesentlich länger als sonst.

Was muß ich tun, um es loszuwerden und dessen eventuell vorgenommenen Eingriffe auf meinem Rechner zu korrigieren?

Nette Grüße Dirk

---------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:15, on 21.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\NetDrive\wdService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Ditto\Ditto.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Copy Handler\ch.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\FreeCommander\FreeCommander.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - C:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Ditto] C:\Programme\Ditto\Ditto.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copy Handler] C:\Programme\Copy Handler\ch.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PicGrab - {18B1FD17-63EA-492F-BD74-875A9CCE5C5A} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {89045B2A-F81D-44ED-81F3-4E6670D23845} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {89045B2A-F81D-44ED-81F3-4E6670D23845} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199439078609
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F55B0D99-BC97-47A9-8807-34F9F953F6A8}: NameServer = 213.191.74.19 62.109.123.197
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampp\apache\bin\apache.exe (file missing)
O23 - Service: Cobian Backup 9 Dienst (CobianBackupAmanita) - Luis Cobian - C:\Programme\Cobian Backup 9\cbService.exe
O23 - Service: ComodoBackupService - COMODO - C:\Programme\Comodo\BackUp\CmdBkSvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - c:\xampp\filezillaftp\filezillaserver.exe (file missing)
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - H:\xampp\service.exe

--
End of file - 9558 bytes
__________
Win 11 22H2

#2 Siehe http://board.protecus.de/t36969.htm, bite das selbe machen, da selbe Malware...
__________
MfG Ralf
SEO-Spam Hunter

#3 Herzlichen Dank für die schnelle Hilfe, Ralf,

ist ja komisch, bei meiner Suche nach "9129837.exe" hier, hatte ich keine Ergebnisse, auch bei einer Suche jetzt finde ich einzig meinen eigenen Beitrag, also diese Seite hier.

Alles erledigt, also Punkt 2. bis 4. Unten noch die zwei Logs (nachdem Combofix den Rechner neu gestartet hat, sind AntiVir und ZoneAlarm leider automatisch gestartet).

Hoffentlich hat der Trojanische Gaul noch keinen Schaden angerichtet oder Einstellungen auf meinem Rechner verändert...ich dachte AntiVir / SpyBot würden verhindern, daß so etwas passiert...

Vielen Dank nochmals für Deine Hilfe, nette Grüße Dirk

---------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2164
Windows 5.1.2600 Service Pack 3

21.05.2009 22:54:41
mbam-log-2009-05-21 (22-54-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85146
Laufzeit: 19 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ttool (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\Wbem\grpconv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\temp\~TM4E.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\9129837.exe (Trojan.Agent) -> Quarantined and deleted successfully.

––-------------------------------------------------------------------------------

ComboFix 09-05-20.A1 - Besitzer 21.05.2009 23:54.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.447.222 [GMT 2:00]
ausgeführt von:: h:\eigene dateien\Software\Downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\wiaserva.log

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NEW_DRV


((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 ))))))))))))))))))))))))))))))
.

2009-05-20 07:13 . 2009-05-20 07:13 -------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\CUERipper
2009-05-20 07:12 . 2009-05-20 07:14 -------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\CUE Tools
2009-05-19 22:11 . 2009-05-19 22:13 -------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2009-05-05 14:50 . 2009-05-05 14:50 -------- d-----w c:\programme\VideoLAN

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 22:05 . 2008-02-21 19:04 246231072 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-21 22:01 . 2008-02-21 19:04 2892692 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-16 07:15 . 2008-04-21 18:29 18324303 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-05-15 12:22 . 2007-08-21 06:32 11202 ----a-w c:\windows\mozver.dat
2009-05-15 12:20 . 2009-03-03 21:19 -------- d-----w c:\programme\Mozilla Thunderbird
2009-05-15 10:40 . 2009-05-15 10:41 3853824 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-05-12 10:28 . 2009-04-03 20:27 -------- d-----w c:\programme\Your Uninstaller 2008
2009-05-08 20:57 . 2009-05-09 07:36 3835392 ----a-w c:\windows\Internet Logs\xDB2.tmp
2009-05-08 13:57 . 2007-08-19 12:47 -------- d-----w c:\programme\phase5
2009-05-06 17:54 . 2007-09-07 12:44 -------- d-----w c:\programme\WinMerge
2009-05-06 11:26 . 2009-04-03 19:59 -------- d-----w c:\programme\MOBackup
2009-04-27 13:19 . 2009-04-20 12:30 -------- d-----w c:\programme\FreeCommander
2009-04-26 17:49 . 2008-07-22 23:08 -------- d-----w c:\programme\WinSCP
2009-04-26 13:37 . 2008-03-16 21:19 -------- d-----w c:\programme\FileZilla FTP Client
2009-04-22 15:53 . 2009-04-22 17:42 2990592 ----a-w c:\windows\Internet Logs\xDB1.tmp
2009-04-21 17:30 . 2007-08-19 12:49 -------- d-----w c:\programme\PhraseExpress
2009-04-18 15:59 . 2009-04-18 15:56 -------- d-----w c:\programme\Monkey's Audio
2009-04-18 11:55 . 2009-04-07 21:41 -------- d-----w c:\programme\PRMT8
2009-04-17 09:01 . 2009-04-17 09:01 -------- d-----w c:\programme\Medieval Software
2009-04-15 09:14 . 2004-08-04 12:00 79212 ----a-w c:\windows\system32\perfc007.dat
2009-04-15 09:14 . 2004-08-04 12:00 446020 ----a-w c:\windows\system32\perfh007.dat
2009-04-14 11:05 . 2007-08-19 08:38 109656 ----a-w c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-13 22:53 . 2009-02-04 20:46 -------- d-----w c:\programme\foobar2000
2009-04-13 18:05 . 2009-04-13 18:05 -------- d-----w c:\programme\Windows Installer Clean Up
2009-04-13 18:05 . 2009-04-13 18:05 -------- d-----w c:\programme\MSECACHE
2009-04-07 21:36 . 2009-03-31 12:57 -------- d-----w c:\programme\MSBuild
2009-04-07 21:36 . 2009-04-07 21:36 245448 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-04-07 21:29 . 2009-04-07 21:29 -------- d-----w c:\programme\Reference Assemblies
2009-04-07 12:46 . 2009-04-07 12:24 -------- d-----w c:\programme\CleanUp!
2009-04-07 08:55 . 2009-04-05 14:42 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-07 08:47 . 2008-06-25 23:07 -------- d-----w c:\programme\Nvu
2009-04-07 08:47 . 2007-08-24 12:14 -------- d-----w c:\programme\seRapid
2009-04-07 08:47 . 2009-02-25 21:03 -------- d-----w c:\programme\Mozilla Sunbird
2009-04-07 08:47 . 2008-11-02 15:34 -------- d-----w c:\programme\KompoZer
2009-04-07 08:47 . 2008-04-05 13:14 -------- d-----w c:\programme\CDex_150
2009-04-07 08:47 . 2007-11-05 08:23 -------- d-----w c:\programme\ConTEXT
2009-04-06 19:41 . 2009-04-06 19:41 -------- d-----w c:\programme\Microsoft Visual Studio 8
2009-04-06 13:32 . 2009-04-05 14:42 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-04-05 14:42 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-05 23:58 . 2007-09-22 21:07 -------- d-----w c:\programme\Ditto
2009-04-04 20:38 . 2009-04-04 20:38 -------- d-----w c:\programme\Microsoft.NET
2009-04-04 19:26 . 2009-03-20 21:16 -------- d-----w c:\programme\TuneUp Utilities 2009
2009-04-04 18:04 . 2009-04-04 18:04 604416 ----a-w c:\windows\system32\TUProgSt.exe
2009-04-04 18:04 . 2009-04-04 18:04 360704 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-04-03 23:49 . 2009-04-03 23:49 -------- d-----w c:\programme\microsoft frontpage
2009-04-03 22:47 . 2007-09-07 10:34 -------- d-----w c:\programme\Folder View
2009-04-03 20:21 . 2009-04-03 20:17 -------- d-----w c:\programme\MOBackup 1.3
2009-04-02 17:56 . 2007-08-23 23:09 -------- d-----w c:\programme\Java
2009-04-02 11:35 . 2007-09-07 09:14 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-02 11:34 . 2007-08-21 21:14 -------- d-----w c:\programme\Allway Sync
2009-04-02 11:14 . 2008-12-26 00:11 -------- d-----w c:\programme\Qtpfsgui
2009-04-02 11:04 . 2008-10-29 19:25 -------- d-----w c:\programme\OpenOffice.org 3
2009-04-02 10:02 . 2007-07-29 21:53 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-31 20:07 . 2009-03-31 20:07 141 ----a-w c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-03-31 20:07 . 2009-03-31 20:07 -------- d-----w c:\programme\PhotomatixPro3
2009-03-31 12:11 . 2009-03-31 12:04 -------- d-----w c:\programme\Virtual CD v9
2009-03-30 08:46 . 2008-06-25 22:59 -------- d-----w c:\programme\FlashGet
2009-03-26 21:11 . 2007-08-19 10:30 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-26 19:13 . 2007-09-12 07:15 -------- d-----w c:\programme\CCleaner
2009-03-26 16:42 . 2009-03-26 16:42 -------- d-----w c:\programme\SpeedProject
2009-03-23 21:19 . 2009-03-23 20:47 -------- d-----w c:\programme\ERUNT
2009-03-23 21:19 . 2008-11-15 00:03 -------- d-----w c:\programme\Free Download Manager
2009-03-23 20:55 . 2009-03-23 20:07 319498 ----a-w c:\windows\system32\prfh0407.dat
2009-03-23 20:55 . 2009-03-23 20:07 49000 ----a-w c:\windows\system32\prfc0407.dat
2009-03-20 14:01 . 2009-04-04 18:04 28416 ----a-w c:\windows\system32\uxtuneup.dll
2009-03-17 08:38 . 2009-04-18 15:56 364544 ----a-w c:\windows\system32\MACDll.dll
2009-03-15 00:12 . 2007-08-20 08:43 57472 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-09 03:19 . 2008-12-26 22:50 410984 ----a-w c:\windows\system32\deploytk.dll
2009-02-24 22:28 . 2004-08-04 12:00 67 --sha-w c:\windows\Fonts\desktop.ini
2009-02-24 22:26 . 2007-07-29 21:36 22880 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-24 14:56 . 2009-02-24 14:56 -------- d-----w c:\windows\Fonts\fonts2
2008-04-24 10:39 . 2008-04-24 10:39 1089328 ----a-w c:\programme\CHsetup1.28.exe
2008-04-24 10:37 . 2008-04-24 10:37 1807380 ----a-w c:\programme\chsetup32_1.30_final.exe
2008-04-24 10:11 . 2008-04-24 10:11 642632 ----a-w c:\programme\hdtune_255.exe
2008-04-24 10:11 . 2008-04-24 10:11 1084311 ----a-w c:\programme\hdtunepro_300_trial.exe
2008-04-24 09:15 . 2008-04-24 09:15 658687 ----a-w c:\programme\cspy23.zip
2008-04-14 11:35 . 2008-04-14 11:35 14852 ----a-w c:\programme\settings.dat
2007-10-14 08:12 . 2007-10-13 00:29 10340 ----a-w c:\programme\mailform.php
2007-10-13 00:30 . 2007-10-13 00:29 9185 ----a-w c:\programme\kontakt_formular.php
2006-05-03 10:06 . 2009-02-05 19:00 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-02-05 19:00 31232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-02-05 19:00 216064 --sh--r c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ditto"="c:\programme\Ditto\Ditto.exe" [2008-01-16 684032]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Copy Handler"="c:\programme\Copy Handler\ch.exe" [2009-02-01 436224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Besitzer\Startmen�\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
PhraseExpress.lnk - c:\programme\PhraseExpress\phraseexpress.exe [2007-8-19 3786648]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiSpyWareDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\xampp\\mysql\\bin\\mysqld.exe"=
"h:\\xampp\\apache\\bin\\apache.exe"=
"h:\\xampp\\mysql\\bin\\mysqld.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Personal Backup 4\\Persbackup.exe"=
"c:\\Programme\\FileZilla Client\\filezilla.exe"=
"c:\\Programme\\PSPad editor\\PSPad.exe"=
"c:\\Programme\\FlashGet\\FlashGet.exe"=
"c:\\Programme\\PhraseExpress\\PhraseExpress.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=

R1 vdrv9000;vdrv9000;c:\windows\system32\drivers\vdrv9000.sys [31.03.2009 14:10 113168]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [04.04.2009 20:04 604416]
R2 WebDriveFSD;WebDrive File System Driver;c:\programme\NetDrive\rffsd.sys [18.01.2008 03:07 67032]
S3 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" -k runservice --> c:\xampp\apache\bin\apache.exe [?]
S3 CobianBackupAmanita;Cobian Backup 9 Dienst;c:\programme\Cobian Backup 9\cbService.exe [01.01.2009 12:12 583168]
S3 ComodoBackupService;ComodoBackupService;c:\programme\Comodo\BackUp\CmdBkSvc.exe [04.01.2009 02:29 1023488]
S3 CrystalSysInfo;CrystalSysInfo;c:\programme\MediaCoder\SysInfo.sys [25.09.2007 16:59 15152]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [19.10.2008 10:13 33752]
S3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [31.03.2009 14:10 11392]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 23:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 23:46 27072]
S3 pfsvgae;pfsvgae;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\pfsvgae.sys --> c:\dokume~1\Besitzer\LOKALE~1\Temp\pfsvgae.sys [?]
S3 VC9SecS;Virtual CD v9 Management Service;c:\programme\Virtual CD v9\System\VC9SecS.exe [31.03.2009 14:05 132424]
S3 XAMPP;XAMPP Service;h:\xampp\service.exe [15.12.2007 20:28 60928]
S4 RFNP32;WebDrive Provider; [x]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\n9l1617g.default\extensions\CiFFToolbarE@craftec.co.jp\components\CiFFToolBar.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\progra~1\MOZILL~1\plugins\np_gp.dll
FF - plugin: c:\programme\Opera\program\plugins\np_gp.dll
FF - plugin: c:\programme\Opera\program\plugins\npdrmv2.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 18
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 00:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll

- - - - - - - > 'explorer.exe'(3468)
c:\programme\Ditto\focus.dll
c:\programme\Unlocker\UnlockerHook.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\NetDrive\wdService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-21 0:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-21 22:11
ComboFix2.txt 2009-04-07 13:11

Vor Suchlauf: 6.618.980.352 Bytes frei
Nach Suchlauf: 6.521.163.776 Bytes frei

228 --- E O F --- 2009-04-04 18:03
__________
Win 11 22H2

#4 Das du meinen Beitrag nicht findest, wenn du 9129837.exe in der Suche eingibst ist klar, da ich mein rootkid ja in der Datei C:\WINDOWS\new_drv.sys' habe
Aber hoffe mal, dass wir beide den Virus schnell wieder loswerden.
Das mit dem Rechner wurde langsamer, kann ich bestätigen, bei mir dauert jedes kleine Programm richtig lange zum laden.

#5 Hallo Madn,

ja, das Laden dauert unfaßbar lang, auch das Umschalten von einem zum anderen Programm, das Öffnen einer wenigen kb großen eMail (bis zu einer Minute, schätze ich) oder das Öffnen des Kontext-Menüs. Beim zweiten Mal Öffnen einer eMail oder des Menüs geht es dann viel schneller komischerweise.

Tja, ja, das hoffe ich auch, daß sie verschwinden, lasse gerade Malwarebytes ein zweites Mal druchlaufen, da zeigt AntiVir einen neuen Trojaner an ("TR/Chipos.A"), hoffentlich macht sich da nicht eine ganze Herde breit bei mir (würde mich interessieren, woher, von welcher Seite die kommen). Malwarebytes hingegen zeigt an, keine infizierten Objekte gefunden zu haben, komisch.

Verzeihung, verstehe noch nicht den Grund, weshalb ich den Namen in Deinem Beitrag nicht finden kann.

Nette Grüße, Dirk
__________
Win 11 22H2

#6 Rein von den Reporten her bist du nun Malwarefrei. Deinstalliere bitte combofix via combofix /u
__________
MfG Ralf
SEO-Spam Hunter

#7 Vielen Dank, Ralf,

bin froh das zu hören.

Zitat

Deinstalliere bitte combofix via combofix /u

Nachdem ich das in "Start", "Ausführen" eingegeben und "OK" gedrückt hatte, erschien ein Hinweis, daß "grpconv.exe", die Datei, die als "(Trojan.Downloader)" angegeben ist, nicht gefunden werden konnte. Hoffentlich bedeutet das nichts Ungutes. Nachdem ich auf "OK" dieses Hineweisfensters geklickt hatte, erschien nach einiger Zeit ein Fenster von Combofix, in dem ich auf "OK" klickte, dann erschien ein neues von Combo, bei dem ich auf das rote Kreuz klickte, woraufhin die Meldung der erfolgreichen Deinstallation erschien.

Vielen Dank, nochmals. Nette Grüße Dirk
__________
Win 11 22H2

#8 Ja, ich weiss das die Meldung kommt, das liegt daran, das cf und mbam die Datei geloescht haben, aber nicht den "startaufruf" der Datei. Ich muss nachher mal schauen, wo die Datei gestartet wird...
__________
MfG Ralf
SEO-Spam Hunter

#9 Okay, vielen Dank Ralf,

nette Grüße Dirk
__________
Win 11 22H2

#10 Den
Eintrag von ZA kannst du erstlmal iggnorieren, wichtig ist nur, ob die grpconv.exe Meldung verschwunden ist.
__________
MfG Ralf
SEO-Spam Hunter

#11 Okay Ralf,

hoffe, daß sie nicht wiederkommt.

Herzlichen Dank für Deine - vor allem auch sehr schnelle - Hilfe, nette Grüße Dirk
__________
Win 11 22H2

#12 Noch ein kleiner Zusatz, da die Malware derzeit haeufiger vorkommt...

Die Malware hat dir die Systemdateien grpconv.exe und proquota.exe aus dem System32 Ordner geloscht und Malwaredateien mit selben Namen in system32\wbem erstellt.

Das Problem ist nun natuerlich, das zwar die Malwaredateien geloescht sind, du aber noch die beiden Systemdateien auch verloren hast.
Das Fehlen der Dateien sollte dir eigentlich garnicht auffallen, nur kann es konstellationen geben, indem du sie benoetigst.
__________
MfG Ralf
SEO-Spam Hunter

#13 Dankeschön Ralf.

Zitat

Das Problem ist nun natuerlich, das zwar die Malwaredateien geloescht sind, du aber noch die beiden Systemdateien auch verloren hast.
Das Fehlen der Dateien sollte dir eigentlich garnicht auffallen, nur kann es konstellationen geben, indem du sie benoetigst.

Lassen sich diese zwei Dateien (falls es nötig werden sollte) nicht einfach wieder an den richtigen Platz, also hier hin, /Windows/System32, kopieren, z.B. von einer Windows-CD oder durch eine Reparatur erneut einspielen, etwa mit der Windows-System-CD?

Nette Grüße Dirk
__________
Win 11 22H2

#14 Ich hab hier die Dateien fuer das Windows xp pro sp3. Diese kann ich gerne hier anhaengen...
__________
MfG Ralf
SEO-Spam Hunter

#15 Ah ja, das wäre natürlich super, Ralf, vielen Dank, dann kopiere ich die zwei Dateien einfach hier hin, C:\WINDOWS\system32, und das war's.

Das freut mich, dankeschön, nette Grüße Dirk
__________
Win 11 22H2