Okay habe nochmal ComboFix laufen lassen, und möchte euch um eine Einschätzung bitten. Da sind einige duibiose Files im Windows-Ordner, die im letzten Monat angelegt wurden. Interessant ist, dass es sich bei etwa der Hälfte dieser Einträge gar nicht um Files sondern um leere Ordner handelt. rundll16.exe, rundl132.dll beispielsweise sind leere Ordner. Die Datei nircmd.exe ist laut jotti.org infiziert (allerdings nur von einem einzigen Virenscanner was gefunden):

Datei: nircmd.exe
Status: INFIZIERT/MALWARE
A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Application/NirCmd.A gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Okay, hier nun die Log-Datei von ComboFix, wäre nett, wenn ihr da mal nen Blick drauf werfen würdet:

"Admin" - 2007-07-27 10:03:05 [GMT 2:00] - ComboFix 07-07-24 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-06-27 to 2007-07-27 )))))))))))))))))))))))))))))))


2007-07-27 10:02 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-13 16:36 153,600 --a------ C:\WINDOWS\R.COM
2007-07-13 16:36 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-07-09 16:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-08 20:01 <DIR> d-------- C:\Programme\Opera
2007-07-08 19:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems
2007-07-08 19:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-07-08 18:29 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-20 06:49:13 9,290 ----a-w C:\DOKUME~1\Admin\ANWEND~1\wklnhst.dat
2007-07-11 15:39:05 -------- d-----w C:\Programme\Symantec
2007-07-08 17:27:50 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-08 15:35:48 -------- d-----w C:\Programme\Playmaker
2007-06-17 14:43:55 -------- d-----w C:\Programme\TVgenial
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-08-12 22:10]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 14:59 C:\WINDOWS\SOUNDMAN.EXE]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-01-11 10:23]
"Advanced Tools Check"="C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE" [2003-08-22 22:17]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2005-06-30 08:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"ALUAlert"=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-12-21 17:06:21]
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2003-09-15 16:23:58]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\kem.exe [2003-12-14 14:54:27]
Monitor Apache Servers.lnk - C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe [2003-10-29 10:24:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTServ]
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll 2003-09-24 02:00 1064960 C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^klickTel Herbst 2006 - Schnellstarter.lnk]
path=C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\klickTel Herbst 2006 - Schnellstarter.lnk
backup=C:\WINDOWS\pss\klickTel Herbst 2006 - Schnellstarter.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PC-Bibliothek-Direktsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PC-Bibliothek-Direktsuche.lnk
backup=C:\WINDOWS\pss\PC-Bibliothek-Direktsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
KHALMNPR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\System32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Phase One Media Reader]
C:\PROGRA~1\PHASEO~1\CAPTUR~1\DCIMImp.exe /noscan /CheckAutoStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

R0 sbp2port;Bustreiber f�r SBP2-Transport/Protokoll;C:\WINDOWS\system32\DRIVERS\sbp2port.sys
R2 BTSERIAL;Bluetooth Serial Driver;\??\C:\WINDOWS\System32\drivers\btserial.sys
R2 BTSLBCSP;Bluetooth Port Client Driver;\??\C:\WINDOWS\System32\drivers\btslbcsp.sys
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
R3 ALCXSENS;Service for WDM 3D Audio Driver;C:\WINDOWS\system32\drivers\ALCXSENS.SYS
R3 btwhid;btwhid;C:\WINDOWS\system32\DRIVERS\btwhid.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
R3 LHidKe;Logitech SetPoint HID Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LHidKE.Sys
R3 LHidPPKE;Logitech SetPoint HID Function Driver;C:\WINDOWS\system32\DRIVERS\LHidPPKE.Sys
R3 LMouKE;Logitech SetPoint Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\LMouKE.Sys
R3 Mtlmnt5;Mtlmnt5;C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys
R3 NPDriver;Norton Unerase Protection Driver;\??\C:\WINDOWS\System32\Drivers\NPDRIVER.SYS
R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys
R3 Slntamr;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\slntamr.sys
R3 SlWdmSup;SlWdmSup;C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys
S3 61883;61883-Einheitsger„t;C:\WINDOWS\system32\DRIVERS\61883.sys
S3 Avc;AVC-Ger„t;C:\WINDOWS\system32\DRIVERS\avc.sys
S3 MSDV;Microsoft DV Camera and VCR;C:\WINDOWS\system32\DRIVERS\msdv.sys
S3 Mtlstrm;Mtlstrm;C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys
S3 NtMtlFax;NtMtlFax;C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys
S3 RecAgent;recagent;\??\C:\WINDOWS\System32\DRIVERS\RecAgent.sys
S3 sermouse;Serieller Maustreiber;C:\WINDOWS\system32\DRIVERS\sermouse.sys
S3 SlNtHal;SlNtHal;C:\WINDOWS\system32\DRIVERS\Slnthal.sys


Contents of the 'Scheduled Tasks' folder
2007-07-11 16:03:16 C:\WINDOWS\tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2007-07-27 10:05:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000a9

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-27 10:06:12
C:\ComboFix-quarantined-files.txt ... 2007-07-27 10:06

--- E O F ---

Die folgenden Einträge im Combofix werden vom Escan erzeugt: Die 6 Ordner sollen verhindern, dass Malware mit diesen Dateinamen auf deinem System landen kann, denn unter Windows kann es in einem Ordner nicht einen Ordner und eine Datei des gleichen Namens zusammen geben. Eine fragwürdige Praktik. R.COM und T.COM stammen ebenfalls vom Escan und sind Kopien des Taskmanagers und Registryeditors. Ebenfalls ziemlich sinnfrei.

Code: Alles auswählenAufklappen

ATTFilter

2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-13 16:37 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-13 16:36 153,600 --a------ C:\WINDOWS\R.COM
2007-07-13 16:36 140,800 --a------ C:\WINDOWS\system32\T.COM
         

nircmd.exe ist ein multifunktionales Tool für die Befehlszeile, das von diversen Fixprogrammen eingesetzt wird um Sachen durchzuführen, die mit den Standardprogrammen von Windows nicht oder nur schwierig gehen. Hier mehr Informationen. Solche Tools werden gerne von Virenscannern angemeckert, "Application/NirCmd.A" heißt aber auch, dass es nicht als Malware angesehen wird, sondern als ein Programm vor dessen Existenz gewarnt werden soll. Vermutlich auch in Combofix enthalten.

danke für deine antwort, karlkarl!
das klingt ja zunächst mal etwas beruhigend. ich glaube die nircmd kommt von fixwareout. ist ja nicht die feine art, dass diese programme alle wild im windows-verzeichnis rumpfuschen. naja gut, was solls. hab die systemwiederherstellung übrigens nach deinem tipp mal gelöscht (und neu aktiviert) und nochmal nen panda und kapersky online scan gemacht, die beide gut aussehen. ich bin einfach mal so gutgläubig und hoffe dass jetzt alles in ordnung ist ...
gruß