Hallo Zusammen!
Wie auch alle Anderen hier, hoffe ich das mir Jemand bei meinem Trojaner-Problem Helfen kann! (Und das ich hier alles richtig machen :-P )
Also hab Anti-Vir Version 9 drauf und benutze die ganz normale Windows Firewall!
Die entsprechenden Dateien lassen sich zwar lokalisieren (System32/Drivers), aber dort sind sie NICHT sichtbar, also kann ich sie nicht per Hand lsöchen!
Es handelt sich so wie ich das sehe um 5 Dateien, 3x .dll und 2x.dat
Aber seht selbst,
hier mal ein Ausschnitt aus dem Bericht von Anti-Vir:

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20090428-141734-570DFED9.avp' geschrieben.
c:\windows\system32\drivers\ovfsthxthelwmqb.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
c:\windows\system32\ovfsthxalkriqpx.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthxdwgeeldt.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/TDss.GG
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthxepyvbfti.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthxpjfmujss.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthxtasbdaqv.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!

So siehts aus!
Hier dann noch das HJT-Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:51, on 28.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IDT\WDM\sttray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE
C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Player\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
I:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: C:\WINDOWS\system32\jh9fgo4ksdgf.dll - {D7BF4552-94F1-42BD-F434-3604812C856D} - C:\WINDOWS\system32\jh9fgo4ksdgf.dll (file missing)
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Player\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MST" WISE_SETUP_EXE_PATH="c:\nvidia\winxp\182.08\is\PhysX_9.09.0203_SystemSoftware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1986627710.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [A00F3062F0A.exe] C:\WINDOWS\TEMP\_A00F3062F0A.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [A00FE16B0.exe] C:\WINDOWS\TEMP\_A00FE16B0.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\temp\ntdll64.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: __c00AA49C - C:\WINDOWS\system32\__c00AA49C.dat
O22 - SharedTaskScheduler: sfdawtawgreage4tregrgae34 - {D7BF4552-94F1-42BD-F434-3604812C856D} - C:\WINDOWS\system32\jh9fgo4ksdgf.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9be71aee6e35e) (gupdate1c9be71aee6e35e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\ecsxpv_5762_010208\wdm\STacSV.exe

--
End of file - 6295 bytes

Vielen Dank schonmal für die Hilfe!!!!
Gruß
Floppe

Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo und vielen Dank schonmal!
Hab nur noch eine Frage bevor ich das hier durch ziehe!
Der Rechner um den es geht hat ZUR ZEIT keine Internetverbindung!
ich poste hier von meinem Laptop!
Wie sieht das dann mit diesem Teil aus:

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert

????
Gruß
Floppe

Dann führe es so aus, wie es in der Anleitung steht, lade dir die Wiederherstellungskonsole bei MS runter und installiere sie von Hand.

ciao, andreas

so...hab alles so gemacht, also erst CCleaner durchlaufen lassen und dann Combofix gestartet, aber leider findet AntiVir bei einem sofortigen anschleißenden scan den trojaner immernoch!
Hat also nichts gebracht!
Gruß
Floppe

Zitat:

Hat also nichts gebracht!

Ach, so einfach ist das? Einfach ein Programm starten und schon sind alle Probleme behoben?

Du solltest dir das hier anschauen (achte auf die Anzahl der Posts): http://www.trojaner-board.de/71942-v...mit-avira.html
Oder das: http://www.trojaner-board.de/71068-p...ric-200-a.html
Oder das: http://www.trojaner-board.de/69986-h...glaub-ich.html
Oder das: http://www.trojaner-board.de/69070-t...che-hilfe.html

Wenn du die schnelle und sichere Lösung vorziehst: http://www.trojaner-board.de/51262-a...sicherung.html

Ansonsten:

Zitat:

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

ciao, andreas

Hey Tschuldigung, hab den letzten Schritt wohl übersehen, hab verucht alles richtig bezügich Combofix zu machen, damit da nichts schief geht und dann wohl im Eifer des Gefechts den letzten Schritt übersehen!
Tut mir Leid wenn ich dadurch vorschnell hier was geschrieben habe!!!!!
Sorry also!
Brauche dann leider trotzdem noch Hilfe und wäre Dankbar für diese!
Hier die log Datei:

ComboFix 09-04-27.04 - Florian 29.04.2009 17:57.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\Florian\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ahtn.htm
c:\windows\system32\p2hhr.bat
c:\windows\system32\sf87wuijndoio43j.dll
c:\windows\system32\win32hlp.cnf
C:\xcrashdump.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-29 ))))))))))))))))))))))))))))))
.

2009-04-29 11:50 . 2009-04-29 11:50 -------- d-----w c:\programme\CCleaner
2009-04-29 11:34 . 2006-02-28 12:00 19456 -c--a-w c:\windows\system32\dllcache\simptcp.dll
2009-04-29 11:34 . 2006-02-28 12:00 19456 ----a-w c:\windows\system32\simptcp.dll
2009-04-27 14:13 . 2008-04-14 02:23 26624 -c--a-w c:\windows\system32\dllcache\userinit.exe
2009-04-27 14:13 . 2009-04-27 14:13 24064 ----a-w c:\windows\system32\loader266.exe
2009-04-26 09:20 . 2009-04-26 09:20 -------- d-----w C:\adaptec
2009-04-26 09:13 . 2002-07-17 14:22 5600 ----a-w c:\windows\system\WINASPI.DLL
2009-04-26 09:13 . 2002-07-17 14:22 4672 ----a-w c:\windows\system\WOWPOST.EXE
2009-04-26 09:13 . 2002-07-17 06:53 16877 ----a-w c:\windows\system32\drivers\ASPI32.SYS
2009-04-26 09:13 . 2002-07-17 07:20 45056 ----a-w c:\windows\system32\WNASPI32.DLL
2009-04-26 08:18 . 2009-04-26 08:21 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\DeepBurner
2009-04-26 08:04 . 2009-04-26 08:04 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\InfraRecorder
2009-04-25 21:57 . 2009-04-25 21:57 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\Ahead
2009-04-25 21:56 . 2003-02-21 02:42 348160 ----a-w c:\windows\system32\msvcr71.dll
2009-04-25 21:56 . 2003-03-18 20:14 499712 ----a-w c:\windows\system32\msvcp71.dll
2009-04-25 21:56 . 2003-03-18 18:12 1047552 ----a-w c:\windows\system32\mfc71u.dll
2009-04-25 21:56 . 2003-03-19 04:20 1060864 ----a-w c:\windows\system32\mfc71.dll
2009-04-25 12:14 . 2009-04-25 12:14 -------- d-----w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\GMX
2009-04-25 12:14 . 2009-04-25 12:14 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\GMX
2009-04-25 12:14 . 2009-04-25 12:14 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2009-04-25 10:24 . 2009-04-29 11:51 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-25 10:24 . 2009-04-25 10:24 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-24 15:57 . 1998-07-06 16:55 33792 ----a-w c:\windows\system32\CMDLGDE.DLL
2009-04-24 15:57 . 1998-05-05 15:35 24576 ----a-w c:\windows\system32\CMCT2DE.dll
2009-04-24 15:57 . 1998-05-05 15:35 112640 ----a-w c:\windows\system32\CMCTLde.DLL
2009-04-24 15:57 . 2003-04-18 15:29 44544 ----a-w c:\windows\system32\msxml4a.dll
2009-04-24 15:57 . 2009-04-24 15:57 -------- d-----w c:\programme\YooApplications
2009-04-24 01:57 . 2009-04-24 01:57 4096 ----a-w c:\windows\system32\ftp_non_crp.exe
2009-04-24 00:04 . 2009-04-27 18:07 39936 ----a-w c:\windows\system32\winglsetup.exe
2009-04-22 16:23 . 2009-04-22 16:23 -------- d-----w c:\programme\Gemeinsame Dateien\NSV
2009-04-21 21:15 . 2009-04-21 21:15 -------- d-----w c:\programme\DAEMON Tools
2009-04-21 21:13 . 2009-04-21 21:13 646392 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-19 09:06 . 2001-05-16 15:54 309616 ----a-w c:\windows\system32\wmv8dmod.dll
2009-04-19 09:06 . 2001-05-11 11:18 420240 ----a-w c:\windows\system32\mpg4c32.dll
2009-04-18 10:40 . 2009-04-24 16:06 -------- d-----w c:\windows\system32\NtmsData
2009-04-18 09:35 . 2009-04-18 09:35 -------- d-----w c:\programme\Acoustica Shared Effects
2009-04-17 11:35 . 2008-04-14 02:22 221184 ----a-w c:\windows\system32\wmpns.dll
2009-04-17 11:34 . 2009-04-17 11:34 -------- d-----w c:\programme\Windows Media Connect 2
2009-04-17 11:34 . 2009-04-21 20:31 -------- d-----w c:\windows\system32\drivers\UMDF
2009-04-17 08:29 . 2009-04-17 08:29 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2009-04-16 08:59 . 2009-04-16 08:59 -------- d-----w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-04-16 08:59 . 2009-04-16 08:59 -------- d-----w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Google
2009-04-16 08:58 . 2009-04-17 08:32 -------- d-----w c:\programme\Google
2009-04-15 18:15 . 2009-04-16 09:54 66872 ----a-w c:\windows\system32\PnkBstrA.exe
2009-04-15 18:15 . 2009-04-19 11:47 22328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-04-15 18:14 . 2009-04-19 11:47 103736 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-15 18:14 . 2009-04-15 18:14 -------- d--h--r c:\dokumente und einstellungen\Florian\Anwendungsdaten\SecuROM
2009-04-15 18:13 . 2009-04-17 11:34 -------- d-----w c:\windows\system32\LogFiles
2009-04-15 03:51 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 03:51 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 03:51 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 03:51 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 03:51 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 03:51 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 03:51 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 03:51 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 03:51 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-14 15:15 . 2009-04-14 15:15 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\dvdcss
2009-04-14 11:42 . 2009-04-24 16:06 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\uTorrent
2009-04-12 15:46 . 2009-04-12 15:46 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\DivX
2009-04-10 22:44 . 2009-02-24 19:35 120056 ------w c:\windows\system32\pxcpyi64.exe
2009-04-10 22:44 . 2009-02-24 19:35 118520 ------w c:\windows\system32\pxinsi64.exe
2009-04-10 22:44 . 2009-04-10 22:44 -------- d-----w c:\programme\Gemeinsame Dateien\DivX Shared
2009-04-10 22:44 . 2009-04-10 22:44 -------- d-----w c:\programme\DivX
2009-04-10 19:23 . 2009-04-10 19:23 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\ScreeNet iSaver
2009-04-10 19:23 . 2009-04-10 19:23 -------- d-----w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\ScreeNet iSaver
2009-04-05 14:40 . 2009-04-05 14:40 -------- d-----w c:\windows\Sun
2009-04-05 14:40 . 2009-04-05 14:40 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-05 14:40 . 2009-04-05 14:40 -------- d-----w c:\programme\Java
2009-04-04 20:01 . 2009-04-19 12:59 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\Hamachi
2009-04-04 20:01 . 2009-04-04 20:01 25280 ----a-w c:\windows\system32\drivers\hamachi.sys
2009-04-04 20:01 . 2009-04-04 20:01 -------- d-----w c:\programme\Hamachi
2009-04-04 19:52 . 2009-04-27 19:52 -------- d-----w c:\programme\Mozilla Thunderbird
2009-04-04 18:33 . 2009-04-04 18:33 531 ----a-w c:\windows\eReg.dat
2009-04-03 19:15 . 2009-04-03 19:16 -------- d-----w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-04-03 19:14 . 2009-04-03 19:21 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-03 13:27 . 2009-04-05 13:29 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\vlc
2009-04-03 06:14 . 2009-04-03 06:14 -------- d-----w c:\windows\l2schemas
2009-04-03 06:14 . 2009-04-03 06:14 -------- d-----w c:\windows\system32\de
2009-04-03 06:14 . 2009-04-03 06:14 -------- d-----w c:\windows\system32\bits
2009-04-03 06:13 . 2009-04-03 06:14 -------- d-----w c:\windows\ServicePackFiles
2009-04-03 06:09 . 2009-04-03 06:09 -------- d-----w c:\windows\EHome
2009-04-02 14:47 . 2009-02-20 16:49 52224 -c----w c:\windows\system32\dllcache\msfeedsbs.dll
2009-04-02 14:47 . 2009-02-20 16:49 459264 -c----w c:\windows\system32\dllcache\msfeeds.dll
2009-04-02 14:47 . 2009-02-20 16:49 268288 -c----w c:\windows\system32\dllcache\iertutil.dll
2009-04-02 14:47 . 2009-02-20 10:20 13824 -c----w c:\windows\system32\dllcache\ieudinit.exe
2009-04-02 14:47 . 2009-02-20 16:49 6066176 -c----w c:\windows\system32\dllcache\ieframe.dll
2009-04-02 14:47 . 2009-02-20 16:49 383488 -c----w c:\windows\system32\dllcache\ieapfltr.dll
2009-04-02 14:47 . 2008-07-09 14:25 2455488 -c----w c:\windows\system32\dllcache\ieapfltr.dat
2009-04-02 14:47 . 2009-02-20 16:49 63488 -c----w c:\windows\system32\dllcache\icardie.dll
2009-04-02 14:46 . 2009-04-15 20:25 -------- d-----w c:\windows\system32\de-de
2009-04-02 14:36 . 2004-08-03 20:29 63488 ------w c:\windows\system32\drivers\atinxsxx.sys
2009-04-01 22:33 . 2008-06-14 17:32 273024 -c----w c:\windows\system32\dllcache\bthport.sys
2009-04-01 22:33 . 2008-06-14 17:32 273024 ------w c:\windows\system32\drivers\bthport.sys
2009-04-01 22:32 . 2009-02-09 11:21 2147840 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-01 22:32 . 2009-02-10 17:03 2068352 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-01 22:32 . 2009-02-09 11:21 2026496 -c----w c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-01 22:32 . 2009-02-09 11:21 2191360 -c----w c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-01 22:31 . 2008-05-08 14:02 203136 -c----w c:\windows\system32\dllcache\rmcast.sys
2009-04-01 22:31 . 2008-10-24 11:21 455296 -c----w c:\windows\system32\dllcache\mrxsmb.sys
2009-04-01 22:31 . 2008-12-11 10:57 333952 -c----w c:\windows\system32\dllcache\srv.sys
2009-04-01 22:31 . 2008-04-11 19:04 691712 -c----w c:\windows\system32\dllcache\inetcomm.dll
2009-04-01 22:29 . 2008-10-15 16:35 337408 -c----w c:\windows\system32\dllcache\netapi32.dll
2009-04-01 22:14 . 2009-04-01 22:14 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2009-04-01 19:24 . 2009-04-01 19:24 -------- d-----w c:\programme\Trust
2009-04-01 19:23 . 2009-04-01 19:23 -------- d-----w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Identities
2009-04-01 18:49 . 2009-04-01 18:49 -------- d-----w c:\dokumente und einstellungen\Florian\Anwendungsdaten\Thunderbird
2009-04-01 18:49 . 2009-04-01 18:49 -------- d-----w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2009-04-01 13:39 . 2009-04-15 18:14 107888 ----a-w c:\windows\system32\CmdLineExt.dll
2009-04-01 13:25 . 2009-04-04 17:53 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-04-01 09:19 . 2009-04-01 09:19 -------- d-----w c:\windows\Logs
2009-03-31 21:30 . 2009-04-27 14:01 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-03-31 21:30 . 2009-03-31 21:30 -------- d-----w c:\programme\Avira
2009-03-31 21:30 . 2009-03-31 21:30 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-31 21:26 . 2009-04-04 17:51 15552 ----a-w c:\dokumente und einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-31 20:32 . 2001-08-18 02:22 12288 -c--a-w c:\windows\system32\dllcache\mouhid.sys
2009-03-31 20:32 . 2001-08-18 02:22 12288 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-03-31 20:32 . 2008-04-14 01:58 14720 ----a-w c:\windows\system32\drivers\kbdhid.sys
2009-03-31 20:31 . 2005-04-12 17:09 159744 ----a-w c:\windows\system32\WmJoyFrc.dll
2009-03-31 20:31 . 2005-04-12 17:21 45504 ----a-w c:\windows\system32\drivers\WmXlCore.sys
2009-03-31 20:31 . 2005-04-12 17:21 5600 ----a-w c:\windows\system32\drivers\WmVirHid.sys
2009-03-31 20:31 . 2005-04-12 17:21 22240 ----a-w c:\windows\system32\drivers\WmFilter.sys
2009-03-31 20:31 . 2005-04-12 17:21 10144 ----a-w c:\windows\system32\drivers\WmBEnum.sys
2009-03-31 20:31 . 2009-03-31 20:31 -------- d-----w c:\programme\Gemeinsame Dateien\Logitech
2009-03-31 20:31 . 2009-03-31 20:31 -------- d-----w c:\programme\Logitech

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-29 15:43 . 2006-02-28 12:00 70580 ----a-w c:\windows\system32\perfc007.dat
2009-04-29 15:43 . 2006-02-28 12:00 405118 ----a-w c:\windows\system32\perfh007.dat
2009-04-03 06:15 . 2009-03-31 18:44 76487 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-31 20:25 . 2009-03-31 20:25 -------- d-----w c:\programme\MSXML 4.0
2009-03-31 19:27 . 2009-03-31 18:44 -------- d-----w c:\programme\Online-Dienste
2009-03-31 18:45 . 2009-03-31 18:45 -------- d-----w c:\programme\microsoft frontpage
2009-03-31 18:44 . 2006-02-28 12:00 67 --sha-w c:\windows\Fonts\desktop.ini
2009-03-31 18:43 . 2009-03-31 18:43 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-31 18:42 . 2009-03-31 18:42 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-03-16 12:18 . 2009-04-01 09:21 69448 ----a-w c:\windows\system32\XAPOFX1_3.dll
2009-03-16 12:18 . 2009-04-01 09:21 517448 ----a-w c:\windows\system32\XAudio2_4.dll
2009-03-16 12:18 . 2009-04-01 09:21 235352 ----a-w c:\windows\system32\xactengine3_4.dll
2009-03-16 12:18 . 2009-04-01 09:21 22360 ----a-w c:\windows\system32\X3DAudio1_6.dll
2009-03-09 13:27 . 2009-04-01 09:21 453456 ----a-w c:\windows\system32\d3dx10_41.dll
2009-03-09 13:27 . 2009-04-01 09:21 1846632 ----a-w c:\windows\system32\D3DCompiler_41.dll
2009-03-09 13:27 . 2009-04-01 09:21 4178264 ----a-w c:\windows\system32\D3DX9_41.dll
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-24 19:34 . 2009-02-24 19:34 90112 ----a-w c:\windows\system32\dpl100.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-02-24 19:34 . 2009-02-24 19:34 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-02-24 19:34 . 2009-02-24 19:34 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-02-24 19:34 . 2009-02-24 19:34 684032 ----a-w c:\windows\system32\DivX.dll
2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:04 . 2006-02-28 12:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2006-02-28 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2006-02-28 12:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2006-02-28 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2006-02-28 12:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2006-02-28 12:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2006-02-28 12:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2006-02-28 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2006-02-28 12:00 56832 ----a-w c:\windows\system32\secur32.dll
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2007-12-14 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OFFICEKB"="c:\programme\Trust\DS-4500X Wireless Laser Deskset\Keyboard\kbdap32a.EXE" [2009-04-01 401920]
"FLMOFFICE4DMOUSE"="c:\programme\Trust\DS-4500X Wireless Laser Deskset\Mouse\mouse32a.exe" [2009-04-01 370176]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-05 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-02-18 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R4 gupdate1c9be71aee6e35e;Google Update Service (gupdate1c9be71aee6e35e);c:\programme\Google\Update\GoogleUpdate.exe [2009-04-16 133104]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-04-27 108289]
S2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe [2008-04-14 14336]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [2008-03-22 38560]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
Inhalt des "geplante Tasks" Ordners

2009-04-29 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-16 08:59]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Windows Resurections - c:\windows\TEMP\byfigav4lt.exe
HKU-Default-Run-Diagnostic Manager - c:\windows\TEMP\1986627710.exe
HKU-Default-Run-A00F3062F0A.exe - c:\windows\TEMP\_A00F3062F0A.exe
Notify-__c00AA49C - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = <local>
FF - ProfilePath - c:\dokumente und einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\tsdejwpw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-29 18:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\drivers\ovfsthxthelwmqb.sys 83456 bytes executable
c:\windows\system32\ovfsthxalkriqpx.dat 615116 bytes
c:\windows\system32\ovfsthxdwgeeldt.dll 60928 bytes executable
c:\windows\system32\ovfsthxepyvbfti.dll 18432 bytes executable
c:\windows\system32\ovfsthxpjfmujss.dat 43 bytes
c:\windows\system32\ovfsthxtasbdaqv.dll 18432 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 6

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1993962763-1645522239-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:f7,79,b1,1f,5b,23,b3,65,ec,9a,9f,90,32,dd,c5,4e,44,d4,1c,c7,f8,
15,cc,96,85,c5,ba,d2,2b,2c,84,6e,0c,80,cd,8b,38,93,d0,7e,1d,ba,00,be,2f,0c,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2520)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Trust\DS-4500X Wireless Laser Deskset\Mouse\MOUDL32A.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\snmp.exe
c:\programme\IDT\ECSXPV_5762_010208\WDM\stacsv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-29 18:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-29 16:03

Vor Suchlauf: 9 Verzeichnis(se), 103.003.119.616 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 102.947.811.328 Bytes frei

290 --- E O F --- 2009-04-24 22:22



Gruß
Floppe

1.) Deinstalliere:

• Spybot
• Google Update

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\drivers\ovfsthxthelwmqb.sys
c:\windows\system32\ovfsthxalkriqpx.dat
c:\windows\system32\ovfsthxdwgeeldt.dll
c:\windows\system32\ovfsthxepyvbfti.dll
c:\windows\system32\ovfsthxpjfmujss.dat
c:\windows\system32\ovfsthxtasbdaqv.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

3.) GMER - Rootkit Detection

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Wird gemacht!
Aber nur damit ich nicht völlig doof hier alles einfach ausführe...würde mich interessieren in welchem Zusammenhang da z.B. Spybot steht!
Ist das ein schlechtes Programm? Bisher hatte ich damit eher gute Erfahrungen gemacht und mich sicherer gefühlt!
Gruß
Floppe

Zitat:

z.B. Spybot steht!

Haben Spybot oder Teatimer oder Avira dich vor dem ultrafiesen Rootkit bewahrt? Haben die den überhaupt entdeckt? Können die den beseitigen? Wozu sind deine Programme eigentlich gut, ausser dazu, dass du dich gut fühlst?

http://www.trojaner-board.de/408463-post8.html (Der erste Absatz!)

ciao, andreas

So hier die beiden Ergebnisse:

Hopsassa:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthxibpjwxns" found!
ImagePath: \systemroot\system32\drivers\ovfsthxthelwmqb.sys
Start Type: 1 (System)

Rootkit scan completed.

File "c:\windows\system32\drivers\ovfsthxthelwmqb.sys" deleted successfully.
File "c:\windows\system32\ovfsthxalkriqpx.dat" deleted successfully.
File "c:\windows\system32\ovfsthxdwgeeldt.dll" deleted successfully.
File "c:\windows\system32\ovfsthxepyvbfti.dll" deleted successfully.
File "c:\windows\system32\ovfsthxpjfmujss.dat" deleted successfully.
File "c:\windows\system32\ovfsthxtasbdaqv.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



und Trallala:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-29 21:04:00
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT BA7F6FC6 ZwCreateKey
SSDT BA7F6FBC ZwCreateThread
SSDT BA7F6FCB ZwDeleteKey
SSDT BA7F6FD5 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xB9ED3A92]
SSDT sptd.sys ZwEnumerateValueKey [0xB9ED3E20]
SSDT BA7F6FDA ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xB9ECE090]
SSDT BA7F6FA8 ZwOpenProcess
SSDT BA7F6FAD ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9ED3EF8]
SSDT sptd.sys ZwQueryValueKey [0xB9ED3D78]
SSDT BA7F6FE4 ZwReplaceKey
SSDT BA7F6FDF ZwRestoreKey
SSDT BA7F6FD0 ZwSetValueKey
SSDT BA7F6FB7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? hovawjrr.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B9C3A8AC 5 Bytes JMP 8A43E5E0
? System32\Drivers\ay2p8gpz.SYS Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9ECEAB4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9ECEBFA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9ECEB7C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9ECF728] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9ECF5FE] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EE1C5A] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A6041E8
Device \FileSystem\Fastfat \FatCdrom 893151E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{5CF07C9C-EE67-4FB3-BB1F-F360F112FA89} 8A20B1E8
Device \Driver\usbohci \Device\USBPDO-0 8A45C980
Device \Driver\usbehci \Device\USBPDO-1 8A4701E8
Device \Driver\usbohci \Device\USBPDO-2 8A45C980
Device \Driver\usbehci \Device\USBPDO-3 8A4701E8
Device \Driver\PCI_NTPNP8968 \Device\00000054 sptd.sys
Device \Driver\prodrv06 \Device\ProDrv06 E1AB4008
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6061E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6061E8
Device \Driver\Cdrom \Device\CdRom0 8A4435F0
Device \Driver\Cdrom \Device\CdRom1 8A4435F0
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-19 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Cdrom \Device\CdRom2 8A4435F0
Device \Driver\prohlp02 \Device\ProHlp02 E15812D0
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A20B1E8
Device \Driver\NetBT \Device\NetbiosSmb 8A20B1E8
Device \Driver\USBSTOR \Device\00000088 8A2E17E8
Device \Driver\USBSTOR \Device\00000089 8A2E17E8
Device \Driver\usbohci \Device\USBFDO-0 8A45C980
Device \Driver\usbehci \Device\USBFDO-1 8A4701E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 893411E8
Device \Driver\usbohci \Device\USBFDO-2 8A45C980
Device \FileSystem\MRxSmb \Device\LanmanRedirector 893411E8
Device \Driver\usbehci \Device\USBFDO-3 8A4701E8
Device \Driver\Ftdisk \Device\FtControl 8A6061E8
Device \Driver\USBSTOR \Device\0000008a 8A2E17E8
Device \Driver\USBSTOR \Device\0000008b 8A2E17E8
Device \Driver\ElbyVCD \Device\Scsi\ElbyVCD1 8A67E1E8
Device \Driver\ElbyVCD \Device\Scsi\ElbyVCD1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\ay2p8gpz \Device\Scsi\ay2p8gpz1 8A3C33D8
Device \Driver\ay2p8gpz \Device\Scsi\ay2p8gpz1Port5Path0Target0Lun0 8A3C33D8
Device \Driver\ElbyVCD \Device\Scsi\ElbyVCD1Port0Path0Target0Lun0 8A67E1E8
Device \Driver\ElbyVCD \Device\Scsi\ElbyVCD1Port0Path0Target0Lun0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Fastfat \Fat 893151E8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 8A2E0980

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1842112804
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 940982315
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x55 0x04 0x04 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x06 0x60 0x75 0xD2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xDC 0x31 0xC1 0x95 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x64 0x62 0x03 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x55 0x04 0x04 0xE1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x06 0x60 0x75 0xD2 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xDC 0x31 0xC1 0x95 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x64 0x62 0x03 0x00 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl (size mismatch) 8192/4096 bytes

---- EOF - GMER 1.0.15 ----

Gruß
Floppe

Kann es sein, dass der Rechner erst vor kurzem installiert wurde?

Füttere Avenger (Hopsassa) mit diesem Skript:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
ovfsthxibpjwxns

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\ovfsthxibpjwxns
HKLM\SYSTEM\ControlSet002\Services\ovfsthxibpjwxns
HKLM\SYSTEM\ControlSet003\Services\ovfsthxibpjwxns
HKLM\SYSTEM\ControlSet004\Services\ovfsthxibpjwxns
         

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Ja PC ist neu!
Hier die Ergebnisse:

Hopssasa:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ovfsthxibpjwxns" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet001\Services\ovfsthxibpjwxns" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\ovfsthxibpjwxns" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet002\Services\ovfsthxibpjwxns" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Services\ovfsthxibpjwxns" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet003\Services\ovfsthxibpjwxns" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet004\Services\ovfsthxibpjwxns" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\ovfsthxibpjwxns" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


und die beiden Files von RSIT sind hochgeladen unter:
Info:
http://www.materialordner.de/SLJcLGS2mhfLhMSOD5ClrJeruiDygY0Z.html
log:
http://www.materialordner.de/Y1alyKRCJRUlkisuYEGH9eyJxeJqKFCx.html

Gruß
Floppe

1.) Lade bitte folgende Dateien bei uns gemäß dieser Anleitung (nur Punkt 2) bei uns hoch:

Code: Alles auswählenAufklappen

ATTFilter

c:\avenger\*.zip
         

Also alles mit der Endung zip.

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
a6cgov4q
6to4
gupdate1c9be71aee6e35e

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8088d40-f4df-11dd-9df2-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{396c7e19-1ec2-11de-b9fa-001e90f59c25}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-
"NoDrives"=-
"NoSetActiveDesktop"=-
"NoActiveDesktopChanges"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"SunJavaUpdateSched"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"=-

Folder::
C:\Programme\Google\Update
C:\Programme\Spybot - Search & Destroy
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\rsit
c:\programme\Online-Dienste

File::
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\windows\system32\loader266.exe
C:\WINDOWS\tasks\daemon4303-lite.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Klick auf "Für alle Neuen" in meiner Signatur und arbeite alle Schritte unter Punkt 2 ab.

ciao, andreas

Hab die *.zip Files versucht hochzuladen, jedoch kommt dann die Nachricht, dass ich keine gepackten Dateien hochladen kann!