Hättest du Zlob aufm Rechner würdest du das mE merken. Lass aber sicherheitshalber mal Smitfraudfix
und lass im abgesicherten Modus die Option 1 durchlaufen und poste das Ergebnis hier.

lg myrtille

Smitfraudfix sagt folgendes:


SmitFraudFix v2.212

Scan done at 16:28:41,26, 17.08.2007
Run from
C:\Dokumente und Einstellungen\***\Desktop\***\Installationen\Diagnose & Bereinigung\SmittfraudfFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Ok, das mit dem abgesicherten Modus war ein Schuss in den Ofen. Das hätte nicht sein müssen.

Allerdings findet Smitfraudfix nichts und ich würde sagen, zlob ist nicht aufm Rechner.

Die Meldung von eScan ist nichts ungewöhnliches. Zlob erstellt(e) wohl wie andere Programme auch eine Datei "install.dat" und eScan sucht bei einigen Schädlingen explizit nach Namen. Wenn es also eine Datei namens install.dat findet, vermutet es Swizzor aufm Rechner, wenn es eine Datei process.exe findet vermutet es nen downloader. Dabei gehört process.exe zu smitfraudfix. (du wirst den also jetzt auch finden, wenn du eScan nochmal durchlaufen lässt. Im Smitfraudfix ordner und im system32 ordner)

lg myrtille

Herzlichen vielen Dank für deine Mühen, myrtille. Doch wie lässt es sich erklären, dass ich weder per Hand noch per Suchfunktion noch per MoveIt die Datei install.dat (und zuvor schon IsDrv120.sys) auffinden konnte?

Die Dateien wirst Du nicht gefunden haben, weil sie sich aktiv verstecken.
Vielleicht hilft uns Blacklight Licht in dieses Dunkel zu bringen.
Lade es, führe es aus und poste das Logfile welches sich nach dem Scan im selben Verzeichnis findet und in etwa fsbl-200708XXXXXXXX.log heißt.

Bata

Hi,
Windows versteckt Dateien, die es nicht verändert haben möchte.

Stelle die Dateioptionen mal nach folgender Anleitung ein:Dateien sichtbar machen.
Vielleicht hast du dann mehr Erfolg. Solltest du jedoch Home-Edition haben, dann kann es sein, dass du so Sachen wirklich nicht finden kannst.

Zur anderen Datei kann ich nicht wirklich viel Sagen: Die Datei scheint es wirklich nicht gegeben zu haben. Einige Dateien werden zb nur kurzzeitig angelegt und dann wieder gelöscht. Vielleicht gehörte es zu einem Programm, das du deinstalliert hast, vllt gehörte sie zu Vundo und wurde von Vundofix entfernt? Da lässt sich nur mutmaßen.

lg myrtille

Vielen Dank für den Tipp mt den Orderoptionen, myrtille, aber darauf bin ich vorher schon selber gekommen.

Blacklight fördert folgendes zu Tager (oder eben auch nicht):



08/17/07 17:45:00 [Info]: BlackLight Engine 1.0.64 initialized
08/17/07 17:45:00 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/17/07 17:45:00 [Note]: 7019 4
08/17/07 17:45:00 [Note]: 7005 0
08/17/07 17:45:09 [Note]: 7006 0
08/17/07 17:45:09 [Note]: 7011 1848
08/17/07 17:45:09 [Note]: 7026 0
08/17/07 17:45:09 [Note]: 7026 0
08/17/07 17:45:14 [Note]: FSRAW library version 1.7.1022
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:45:53 [Note]: 2000 1012
08/17/07 17:47:31 [Note]: 7007 0

Ich möchte Dich um einen letzten Scan mit gmer bitten.
Gehe wie beschrieben vor und poste das Log hier.
Irgendwie hab ich Bauchgrummeln.

Bata

Geht nicht. Der Scan verläuft eine Weile ohne Zwischenfälle, dann stürzt Windows mit einem Bluescreen ab. Der ist nur so kurz zu sehen, dass ich mir die Meldung weder durchlesen noch merken kann. Im abgesicherten Modus lässt sich mit GMER nicht scannen. Ideen?

Idee ja, mal sehen. Lade Combofix(1,4MB) und lass es wie beschrieben durchlaufen. Die GMER Engine ist hier via Catchme integriert.

Poste dann das Log.

Bata

Das kann einen Moment dauern - der Download funktioniert zur Zeit nicht.

Zitat:

der Download funktioniert zur Zeit nicht.

Bei mir geht er

Bata

Heureka, nun klappte es auch. Zuvor war der Server nicht erreichbar.

Nun, hier also combofixens Logfile:



ComboFix 07-08-14.4 - "***" 2007-08-20 9:25:29.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.195 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\***\EIGENE~1.\wnsxs~1
C:\DOKUME~1\***\EIGENE~1.\wnsxs~1\W?nSxS\
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((((( Files Created from 2007-07-20 to 2007-08-20 )))))))))))))))))))))))))))))))


2007-08-20 09:24 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-17 16:28 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-17 16:28 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-17 16:28 3,266 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-17 16:28 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-17 13:48 <DIR> d-------- C:\bases_x
2007-08-16 16:58 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-08-16 16:58 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-08-16 16:58 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-08-16 16:58 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-08-16 16:58 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-08-16 16:58 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-08-16 16:55 153,600 --a------ C:\WINDOWS\R.COM
2007-08-16 16:55 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-08-15 18:22 <DIR> d-------- C:\VundoFix Backups
2007-08-15 16:45 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2007-08-15 16:45 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-08-15 16:45 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-08-15 16:45 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-08-15 16:45 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-08-15 16:45 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2007-08-15 16:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-08-15 16:45 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-08-14 17:27 <DIR> d-------- C:\FOUND.007
2007-08-14 10:51 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-08-14 10:51 13,095,560 -ra------ C:\DOKUME~1\ADMINI~1\MpSetup.exe
2007-08-14 10:51 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-08-14 10:51 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-08-14 10:51 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-08-14 10:51 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-08-14 10:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-08-14 10:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-08-14 10:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-08-14 10:51 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-08-13 21:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-08-13 20:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-08-13 18:11 14 --a------ C:\DOKUME~1\***\getfile.dat
2007-08-13 15:56 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-08-12 21:21 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\AntiSpyware
2007-08-12 21:01 14 --a------ C:\WINDOWS\system32\getfile.dat
2007-08-11 11:36 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Ahead
2007-08-08 17:15 <DIR> d-------- C:\Programme\CDex_150
2007-08-07 21:17 <DIR> d-------- C:\Programme\renatager
2007-08-07 21:11 25,520 --------- C:\WINDOWS\system32\drivers\incdrm.sys
2007-08-07 21:11 1,282,048 --------- C:\WINDOWS\UNMRW.exe
2007-08-07 21:08 88,800 --------- C:\WINDOWS\system32\drivers\incdfs.sys
2007-08-07 21:08 5,328 --------- C:\WINDOWS\system32\drivers\incdrec.sys
2007-08-07 21:08 28,688 --------- C:\WINDOWS\system32\drivers\incdpass.sys
2007-08-07 21:08 1,290,240 --------- C:\WINDOWS\NuNinst.exe
2007-08-07 21:08 <DIR> d-------- C:\WINDOWS\InCD
2007-08-07 21:05 569,344 -ra------ C:\WINDOWS\system32\imagr5.dll
2007-08-07 21:05 544,768 -ra------ C:\WINDOWS\system32\imagx5.dll
2007-08-07 21:05 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-08-07 21:05 283,920 -ra------ C:\WINDOWS\system32\ImagXpr5.dll
2007-08-07 21:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-08-07 21:05 <DIR> d-------- C:\Programme\Ahead


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-19 17:40 736 --a------ C:\WINDOWS\RMTEMP~.EXE
2007-06-26 16:09 664576 --------- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:55 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:08 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:31 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-14 20:09 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:09 617472 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:09 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:09 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:09 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:09 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:09 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:09 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:09 3079680 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-14 20:09 251392 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:09 205312 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:09 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:09 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:09 1494528 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:09 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:09 1056256 --------- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:09 1023488 --------- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:21 1036288 --------- C:\WINDOWS\system32\dllcache\explorer.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 19:57]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 19:57]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 11:52]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 07:32]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-02 12:00]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-02 12:00]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-02 12:00]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 21:10]
"LManager"="C:\Programme\Launch Manager\QtZgAcer.EXE" [2004-07-05 18:52]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-15 17:59]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-09-15 15:58]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-11 16:39]
"Spamihilator"="C:\Programme\Spamihilator\spamihilator.exe" [2007-01-24 15:49]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56]
CAPI Tray.lnk - C:\Programme\Intelligent ISDN Utilities\ccmon.exe [2004-11-19 17:41:29]
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;C:\WINDOWS\system32\DRIVERS\SMBHC.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R2 CAPI;CAPI 2.0 Service;C:\WINDOWS\system32\DRIVERS\capi.sys
R2 NDISCAPI;NDIS CAPI Service;C:\WINDOWS\system32\DRIVERS\ndiscapi.sys
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 colusb;Intelligent ISDN USB ISDN Driver;C:\WINDOWS\system32\DRIVERS\colusb.sys
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys
R3 SMBBATT;Microsoft Smart Battery-Treiber;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys
R3 usb2mpa;Intelligent ISDN USB WAN Driver;C:\WINDOWS\system32\DRIVERS\usb2mpa.sys
R3 vmdmc;Intelligent VComm+ Port Driver;C:\WINDOWS\system32\DRIVERS\vmdmc.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2007-08-20 09:28:50
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-20 9:30:01 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-20 09:30

--- E O F ---

Lade Dir Avenger

kopiere dieses hinein:

Zitat:

Files to delete:
C:\WINDOWS\RMTEMP~.EXE
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

Poste das Log und berichte.

Bata

R.COM und T.Com sind Ordner und werden zusammen mit weiteren Ordnern von eScan angelegt.
Die anderern Ordner dürften diese sein:
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe


Die kann man auch alle (von Hand) löschen.


lg myrtille