Datei C:\WINDOWS\new_drv.sys' Antivir-Virusmeldung

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.05.2009, 21:16
Member

Beiträge: 108
#1 Ich brauche eure Hilfe. Und zwar bekomme ich eine Antivir-virusmeldung, wenn ich den Rechner hochfahre.
In der Datei 'C:\WINDOWS\new_drv.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Wenn ich den Pfad manuell nachgehe finde ich die Datei, jedoch verschwindet sie kurz darauf, wenn ich den Virusbericht beende.

Ich habe das Gefühl, dass der Rechner langsamer geworden ist, seitdem diese Meldung erscheint.

Ich hoffe, mir kann da jemand weiterhelfen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:16, on 21.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\9129837.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CCleaner\CCleaner.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

--
End of file - 9889 bytes
Dieser Beitrag wurde am 21.05.2009 um 21:25 Uhr von Madn editiert.
Seitenanfang Seitenende
21.05.2009, 21:36
Moderator

Beiträge: 7805
#2 Hallo Madn,

arbeite bitrte die Punkte 2-4 aus http://board.protecus.de/t23188.htm ab und poste die Reporte.

Die Malware wird derzeit nicht gut von av Programmen erkannt
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.05.2009, 21:45
Member

Themenstarter

Beiträge: 108
#3 ComboFix 09-05-20.A1 - Roitzheim 21.05.2009 21:30.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.93 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Roitzheim\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wiaserva.log
c:\windows\9129837.exe
c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
c:\windows\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\e3b900461.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_new_drv


((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 ))))))))))))))))))))))))))))))
.

2009-05-21 12:23 . 2009-05-21 17:22 -------- d-----w c:\dokumente und einstellungen\Roitzheim\dwhelper
2009-05-21 12:06 . 2009-05-21 12:07 -------- d-----w c:\programme\Sector69
2009-05-08 22:27 . 2001-08-18 02:53 8192 ----a-w c:\windows\system32\kbdkor.dll
2009-05-08 22:27 . 2001-08-18 02:53 8192 -c--a-w c:\windows\system32\dllcache\kbdkor.dll
2009-05-08 22:27 . 2001-08-18 02:53 8704 ----a-w c:\windows\system32\kbdjpn.dll
2009-05-08 22:27 . 2001-08-18 02:53 8704 -c--a-w c:\windows\system32\dllcache\kbdjpn.dll
2009-05-08 22:27 . 2001-08-17 12:55 5632 ----a-w c:\windows\system32\kbd103.dll
2009-05-08 22:27 . 2001-08-17 12:55 5632 -c--a-w c:\windows\system32\dllcache\kbd103.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101c.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101c.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101b.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101b.dll
2009-05-08 22:27 . 2008-04-14 02:20 6144 ----a-w c:\windows\system32\kbd106.dll
2009-05-08 22:27 . 2008-04-14 02:20 6144 -c--a-w c:\windows\system32\dllcache\kbd106.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 19:37 . 2005-01-27 08:31 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-05-21 11:21 . 2007-01-20 13:41 -------- d-----w c:\programme\Mozilla Thunderbird
2009-05-21 01:18 . 2005-04-02 13:42 50126 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wklnhst.dat
2009-05-20 09:15 . 2006-02-14 19:29 -------- d-----w c:\programme\Lx_cats
2009-05-08 21:52 . 2005-10-31 20:36 -------- d-----w c:\programme\WinAce
2009-04-15 12:20 . 2005-01-27 03:59 65538 ----a-w c:\windows\system32\perfc007.dat
2009-04-15 12:20 . 2005-01-27 03:59 394678 ----a-w c:\windows\system32\perfh007.dat
2009-04-07 21:17 . 2006-01-05 12:57 116272 ----a-w c:\dokumente und einstellungen\Roitzheim\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-07 21:09 . 2005-01-27 06:46 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-07 21:09 . 2009-04-07 21:08 -------- d-----w c:\programme\Gemeinsame Dateien\Ulead Systems
2009-03-22 22:19 . 2009-03-22 22:19 -------- d-----w c:\programme\Unlocker
2009-03-17 10:52 . 2009-03-15 14:46 13282 ----a-w c:\windows\system32\mscomct2.dat
2009-03-17 10:52 . 2009-03-15 14:46 9115 ----a-w c:\windows\system32\ntrdectr.dat
2009-03-15 14:46 . 2009-03-15 14:46 32018 ----a-w c:\windows\system32\msrfcint.dat
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2005-02-21 15:07 . 2005-02-21 15:07 56 --sha-r c:\windows\system32\41D12D28A0.sys
2005-02-06 13:08 . 2005-02-06 13:08 8 --sha-r c:\windows\system32\D5D86239B1.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}]
2007-10-16 18:58 1923584 ----a-w c:\programme\photoposcomtbr\photoposcomtbr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-06 98304]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-02-19 3042816]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 95504]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-03-04 88209]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Roitzheim\Startmen\Programme\Autostart\
Watch.lnk - c:\windows\twain_32\A4CIS600\WATCH.exe [2005-4-2 371200]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-21 1048576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-12-19 65588]
p6bersicht.lnk - c:\programme\phase6\phase6\WinStart\WinStart.exe [2003-10-9 40960]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\rise of Nations gold\\thrones.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z aktuelle Version mit Exe\\LemmingballZ aktuelle Version\\lbz3d\\tmp\\co_real.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z Modversion mit Mods\\lemmingball Z 3D\\lemmingball Z 3D\\lbz3d\\tmp\\co_real.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [02.02.2006 14:42 14848]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [02.02.2006 14:42 40000]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [27.06.2008 18:48 3026]
R2 auwmac;Auerswald ISDN WAN Driver (Ver. %V_VERSION%);c:\windows\system32\drivers\auwmac.sys [02.04.2005 17:20 65587]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [20.01.2007 15:49 61440]
R2 Oscapi;Auerswald CAPI2.0 Treiber;c:\windows\system32\drivers\Oscapi20.sys [02.04.2005 17:20 164930]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.02.2005 20:51 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [27.01.2005 08:37 1272000]
R3 SFC4;SFC4;c:\windows\system32\drivers\SFC4.SYS [02.04.2005 15:26 41472]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [27.01.2005 10:37 19928]
S0 oldfhfg;oldfhfg;c:\windows\system32\drivers\sxpuuwi.sys --> c:\windows\system32\drivers\sxpuuwi.sys [?]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [02.04.2005 17:18 200573]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [27.01.2005 10:31 17408]
S3 cdrmkaun;cdrmkaun;\??\c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys --> c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys [?]
S3 FXDRV;FXDRV;\??\c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys --> c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [20.01.2007 15:49 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [20.01.2007 15:49 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [20.01.2007 15:49 17536]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [02.04.2005 17:18 193421]
.
Inhalt des "geplante Tasks" Ordners

2009-05-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aol.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
FF - ProfilePath - c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 21:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\TEMP\TMP0000002B01F64AB2C08D95FD 524288 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="17081B02B3D7422C39A094EE706F066F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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3332)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Home Cinema\PowerCinema\Kernel\TV\PCMRM2Splter.ax
c:\programme\Home Cinema\PowerProducer\ppM2Splter.ax
c:\programme\Gemeinsame Dateien\muvee Technologies\CyberLink\MuveeM2Splter.ax
c:\programme\Gemeinsame Dateien\muvee Technologies\CyberLink\MuveeM1Splter.ax
c:\programme\CyberLink\Shared Files\clm1splter.ax
c:\programme\CyberLink\Shared Files\clm2splter.ax
c:\programme\Home Cinema\PowerProducer\ppM1Splter.ax
c:\programme\Home Cinema\PowerProducer\ppTLM1Splter.ax
c:\programme\Home Cinema\PowerProducer\ppTLM2Splter.ax
c:\programme\Home Cinema\PowerDirector\PDTLM2Splter.ax
c:\programme\Home Cinema\PowerDirector\PDTLM1Splter.ax
c:\programme\CyberLink\PowerDVD\NavFilter\CLDemuxer.ax
c:\windows\system32\wmpasf.dll
c:\windows\system32\DRMClien.DLL
c:\windows\system32\DivXMedia.ax
c:\programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax
c:\programme\Gemeinsame Dateien\Ahead\Lib\AdvrCntr.dll
c:\programme\CyberLink\PowerDVD\NavFilter\clm4splt.ax
c:\programme\Gemeinsame Dateien\Ahead\DSFilter\NeSplitter.ax
c:\programme\Home Cinema\PowerCinema\Kernel\Movie\isomsplt.ax
c:\progra~1\MICROS~4\Office10\MCPS.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\UAService7.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-21 21:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-21 19:43
ComboFix2.txt 2009-03-23 19:55

Vor Suchlauf: 23 Verzeichnis(se), 20.512.841.728 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 21.435.801.600 Bytes frei

552 --- E O F --- 2009-05-19 07:38


Hier nun den Combofixlog
bin bereits dabei die Schritte abzuarbeiten
nächster Schritt ist malwarebytes
Seitenanfang Seitenende
21.05.2009, 22:02
Moderator

Beiträge: 7805
#4 Mache bitte folgendes:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

http://board.protecus.de/t36969.htm

collect::[49]
c:\windows\TEMP\TMP0000002B01F64AB2C08D95FD
dirlook::
c:\dokumente und einstellungen\Roitzheim\dwhelper
c:\programme\Sector69


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.05.2009, 22:25
Member

Themenstarter

Beiträge: 108
#5 Malwarebytes

während des scanns sind jetzt drei weitere avira meldungen aufgetaucht

In der Datei 'C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP46\A0005580.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.26112' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'C:\WINDOWS\system32\wbem\proquota.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Bredolab.G.3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

und

In der Datei 'C:\WINDOWS\system32\gkjhql.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Chipos.A' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen



Hier das log

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2163
Windows 5.1.2600 Service Pack 3

22.05.2009 00:30:29
mbam-log-2009-05-22 (00-30-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 315537
Laufzeit: 1 hour(s), 43 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Roitzheim\Desktop\avenger\avenger.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP46\A0005580.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wbem\proquota.exe (Trojan.Downloader) -> Quarantined and deleted successfully.





Hier der combofix log, allerdings habe ich die schritte ab punkt 7 nicht machen können, weil sich kein popup geöffnet hat !?


ComboFix 09-05-20.A1 - Roitzheim 22.05.2009 0:37.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.551 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Roitzheim\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Roitzheim\Desktop\CFScript.txt
.

((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 ))))))))))))))))))))))))))))))
.

2009-05-21 12:23 . 2009-05-21 17:22 -------- d-----w c:\dokumente und einstellungen\Roitzheim\dwhelper
2009-05-21 12:06 . 2009-05-21 12:07 -------- d-----w c:\programme\Sector69
2009-05-08 22:27 . 2001-08-18 02:53 8192 ----a-w c:\windows\system32\kbdkor.dll
2009-05-08 22:27 . 2001-08-18 02:53 8192 -c--a-w c:\windows\system32\dllcache\kbdkor.dll
2009-05-08 22:27 . 2001-08-18 02:53 8704 ----a-w c:\windows\system32\kbdjpn.dll
2009-05-08 22:27 . 2001-08-18 02:53 8704 -c--a-w c:\windows\system32\dllcache\kbdjpn.dll
2009-05-08 22:27 . 2001-08-17 12:55 5632 ----a-w c:\windows\system32\kbd103.dll
2009-05-08 22:27 . 2001-08-17 12:55 5632 -c--a-w c:\windows\system32\dllcache\kbd103.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101c.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101c.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101b.dll
2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101b.dll
2009-05-08 22:27 . 2008-04-14 02:20 6144 ----a-w c:\windows\system32\kbd106.dll
2009-05-08 22:27 . 2008-04-14 02:20 6144 -c--a-w c:\windows\system32\dllcache\kbd106.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 22:34 . 2005-01-27 08:31 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-05-21 19:49 . 2008-09-28 12:37 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-21 11:21 . 2007-01-20 13:41 -------- d-----w c:\programme\Mozilla Thunderbird
2009-05-21 01:18 . 2005-04-02 13:42 50126 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wklnhst.dat
2009-05-20 09:15 . 2006-02-14 19:29 -------- d-----w c:\programme\Lx_cats
2009-05-08 21:52 . 2005-10-31 20:36 -------- d-----w c:\programme\WinAce
2009-04-15 12:20 . 2005-01-27 03:59 65538 ----a-w c:\windows\system32\perfc007.dat
2009-04-15 12:20 . 2005-01-27 03:59 394678 ----a-w c:\windows\system32\perfh007.dat
2009-04-07 21:17 . 2006-01-05 12:57 116272 ----a-w c:\dokumente und einstellungen\Roitzheim\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-07 21:09 . 2005-01-27 06:46 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-07 21:09 . 2009-04-07 21:08 -------- d-----w c:\programme\Gemeinsame Dateien\Ulead Systems
2009-04-06 13:32 . 2008-09-28 12:37 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-09-28 12:37 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-17 10:52 . 2009-03-15 14:46 13282 ----a-w c:\windows\system32\mscomct2.dat
2009-03-17 10:52 . 2009-03-15 14:46 9115 ----a-w c:\windows\system32\ntrdectr.dat
2009-03-15 14:46 . 2009-03-15 14:46 32018 ----a-w c:\windows\system32\msrfcint.dat
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2005-02-21 15:07 . 2005-02-21 15:07 56 --sha-r c:\windows\system32\41D12D28A0.sys
2005-02-06 13:08 . 2005-02-06 13:08 8 --sha-r c:\windows\system32\D5D86239B1.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\dokumente und einstellungen\Roitzheim\dwhelper ----


---- Directory of c:\programme\Sector69 ----

2009-01-05 15:04 . 2009-01-05 15:04 602112 ----a-w c:\programme\Sector69\FLV CAP\Sector 69 Flv Cap.exe
2009-01-05 13:00 . 2009-01-05 13:00 1886800 ----a-w c:\programme\Sector69\req_backup\install_flash_player_10_active_x.exe
2008-12-15 14:28 . 2008-12-15 14:28 550560 ----a-w c:\programme\Sector69\req_backup\WinPcap_4_0_2.exe
2005-05-01 18:05 . 2005-05-01 18:05 61440 ----a-w c:\programme\Sector69\FLV CAP\VBPCAP.DLL
2004-08-04 08:56 . 2004-08-04 08:56 1392671 ----a-w c:\programme\Sector69\FLV CAP\msvbvm60.dll


((((((((((((((((((((((((((((( SnapShot@2009-05-21_19.37.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-21 19:49 . 2009-05-21 19:49 335872 c:\windows\Installer\{15803703-25FA-4C01-A062-3F4A59937E87}\ARPPRODUCTICON.exe
- 2009-04-07 21:09 . 2009-04-07 21:09 335872 c:\windows\Installer\{15803703-25FA-4C01-A062-3F4A59937E87}\ARPPRODUCTICON.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}]
2007-10-16 18:58 1923584 ----a-w c:\programme\photoposcomtbr\photoposcomtbr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-06 98304]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-02-19 3042816]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 95504]
"Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-03-04 88209]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Roitzheim\Startmen\Programme\Autostart\
Watch.lnk - c:\windows\twain_32\A4CIS600\WATCH.exe [2005-4-2 371200]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-21 1048576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-12-19 65588]
p6bersicht.lnk - c:\programme\phase6\phase6\WinStart\WinStart.exe [2003-10-9 40960]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"EnableProfileQuota"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\rise of Nations gold\\thrones.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z aktuelle Version mit Exe\\LemmingballZ aktuelle Version\\lbz3d\\tmp\\co_real.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z Modversion mit Mods\\lemmingball Z 3D\\lemmingball Z 3D\\lbz3d\\tmp\\co_real.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [02.02.2006 14:42 14848]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [02.02.2006 14:42 40000]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [27.06.2008 18:48 3026]
R2 auwmac;Auerswald ISDN WAN Driver (Ver. %V_VERSION%);c:\windows\system32\drivers\auwmac.sys [02.04.2005 17:20 65587]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [20.01.2007 15:49 61440]
R2 Oscapi;Auerswald CAPI2.0 Treiber;c:\windows\system32\drivers\Oscapi20.sys [02.04.2005 17:20 164930]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.02.2005 20:51 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [27.01.2005 08:37 1272000]
R3 SFC4;SFC4;c:\windows\system32\drivers\SFC4.SYS [02.04.2005 15:26 41472]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [27.01.2005 10:37 19928]
S0 oldfhfg;oldfhfg;c:\windows\system32\drivers\sxpuuwi.sys --> c:\windows\system32\drivers\sxpuuwi.sys [?]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [02.04.2005 17:18 200573]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [27.01.2005 10:31 17408]
S3 cdrmkaun;cdrmkaun;\??\c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys --> c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys [?]
S3 FXDRV;FXDRV;\??\c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys --> c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [20.01.2007 15:49 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [20.01.2007 15:49 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [20.01.2007 15:49 17536]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [02.04.2005 17:18 193421]
.
Inhalt des "geplante Tasks" Ordners

2009-05-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aol.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
FF - ProfilePath - c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 00:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="17081B02B3D7422C39A094EE706F066F
368015C9A856E45AA84268C77324823CE03EBD45017580C421436A7901B627FBA
E657FB9DC78624FB0E02F49C1D28DA8E384003C73E2131E1B30D06E7AC855A58A
E7AE809CC6EB68EF6A796BA1E1B412FB675827FEBC9E127BECC74CFEBC9E127BE
CC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BE
CC74C8EDD5E5BE2F6E667C038D530D6EB3452A6171C11EC38DE3D8EDD5E5BE2F
6E667BBB1BD13294C725BBCE73CBFFB4B096EBD05A4622A8F13EBF7191341005B
DE3868B82677D71751B5182401D30702E0EFB481B43EA36F5542789CDFB39215D
E266244B452E96BFAFE41AD3E739A18A6FB86E805D4FCF1E211F66B7353958A0D

"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3992)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-05-21 0:42
ComboFix-quarantined-files.txt 2009-05-21 22:41
ComboFix2.txt 2009-05-21 19:43
ComboFix3.txt 2009-03-23 19:55

Vor Suchlauf: 23 Verzeichnis(se), 21.426.376.704 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 21.421.666.304 Bytes frei

517 --- E O F --- 2009-05-19 07:38
Dieser Beitrag wurde am 22.05.2009 um 00:46 Uhr von Madn editiert.
Seitenanfang Seitenende
22.05.2009, 05:34
Moderator

Beiträge: 7805
#6 UH, da war Antivir diesmal sogar an einem Feiertag schnell. Die Malware, die es nun noch gefunden hat, war derzeit nicht gestartet und ist ja nun auch geloescht.

Deinstalliere bitte combofix via combofix /u und aktualisiere deine Software wie den Adobe reader, Java usw.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.05.2009, 10:06
Member

Themenstarter

Beiträge: 108
#7 nachdem ich combofix mit dem Befehl deinstalliert habe, kam vorher die Meldung "grpconv.exe" nicht gefunden, was heißt das nun.

Habe Java nun aktualisiert und Combofix erfolgreich entfernt.

Der Rechner läuft wieder normal schnell, allerdings bin ich mir nicht sicher, ob nun wirklich alles frei ist.
Was soll ich als nächstes machen?
Seitenanfang Seitenende
22.05.2009, 15:47
Moderator

Beiträge: 7805
#8 Noch ein kleiner Zusatz, da die Malware derzeit haeufiger vorkommt...

Die Malware hat dir die Systemdateien grpconv.exe und proquota.exe aus dem System32 Ordner geloscht und Malwaredateien mit selben Namen in system32\wbem erstellt.

Das Problem ist nun natuerlich, das zwar die Malwaredateien geloescht sind, du aber noch die beiden Systemdateien auch verloren hast.
Das Fehlen der Dateien sollte dir eigentlich garnicht auffallen, nur kann es konstellationen geben, indem du sie benoetigst.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.05.2009, 19:29
Member

Themenstarter

Beiträge: 108
#9 ja und was mache ich jetzt?
Kann man die irgendwie ersetzen?
Seitenanfang Seitenende
22.05.2009, 19:31
Moderator

Beiträge: 7805
#10 Schau bitte einmal hier nach
http://board.protecus.de/t36968-2.htm#321243
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.05.2009, 19:46
Member

Themenstarter

Beiträge: 108
#11 LoL Raman, echt praktisch, wenn man zwei Topics gleichzeitig bearbeiten kann ^^

ich hab mir die Dateien runtergeladen, entpackt und ins windows/system32 eingefügt.

Waren nicht mehr vorhanden, dank dir ;)

jetzt alles wieder richtig eingestellt? Und wodurch kann ich mir diese Malware eingefangen haben, die ja jetzt doch deutlich häufiger vorkommt, wenn schon zwei Themen gleichzeitig übers selbe Programm sind.
Seitenanfang Seitenende
22.05.2009, 19:53
Moderator

Beiträge: 7805
#12 Ich denke, das es durch eine Sicherheitsluecke beim Besuch einer Webseite auf den Rechner gekommen ist.

In der Beziehung ist Opera oder Firefox mit noscript Plugin recht sicher.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.05.2009, 21:45
Member

Themenstarter

Beiträge: 108
#13 aber jetzt müsste wieder alles in Ordnung sein, danke für die Hilfe ;)

Der Rechner läuft wieder richtig schnell.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: