Hallo Forum,

eigentlich bin ich bis jetzt immer von größerem Übel verschont geblieben, jedoch meldet nun AntiVir bei der monatlichen Systemkontrolle "Es wurden 8 VIren oder unerwünschte Programme gefunden!"

Daher bitte ich um Eure Hilfe!

Hier ein Auszug aus dem Protokoll:
Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\U.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4776f52c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776266b.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\47762675.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 468b8e65.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776f52c.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP957\A0338254.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.R
[INFO] Eine Sicherungskopie wurde unter dem Namen 47451269.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\2.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.AFGS.9
[INFO] Eine Sicherungskopie wurde unter dem Namen 4786288c.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\B.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.AFGS.55
[INFO] Eine Sicherungskopie wurde unter dem Namen 4786288d.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\C.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.42496
[INFO] Eine Sicherungskopie wurde unter dem Namen 4646424e.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>


Dazu noch der HJ-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:48, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\***\Eigene Dateien\ws.js
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [googletalk] C:\Programme\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ6\ICQ.exe -minimize
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinSweep] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WinSweep Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA420053-3FC5-480E-BC5A-D5A3D20E78A3}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9030 bytes


Hm, ja jetzt wohl die üblichen Fragen: Wie konnte das plötzlich passieren und vor allem was soll ich jetzt tun?
Schönen Sonntag,
allezmg

Hallo.

Dich hat es anscheinend voll erwischt:

Code: Alles auswählenAufklappen

ATTFilter

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe
         

Werte mal die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\ntos.exe
         

online bei Virustotal aus - könnte sich um den Zbot handeln.

Datei ntdos.sys empfangen 2007.10.15 10:36:41 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Datei ntdos.sys empfangen 2007.10.15 10:36:41 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.15.0 2007.10.15 -
AntiVir 7.6.0.23 2007.10.15 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.15 -
BitDefender 7.2 2007.10.15 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.15 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.15 -
Fortinet 3.11.0.0 2007.10.15 -
F-Prot 4.3.2.48 2007.10.15 -
F-Secure 6.70.13030.0 2007.10.15 -
Ikarus T3.1.1.12 2007.10.15 -
Kaspersky 7.0.0.125 2007.10.15 -
McAfee 5140 2007.10.12 -
Microsoft 1.2908 2007.10.15 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 -
Panda 9.0.0.4 2007.10.14 -
Prevx1 V2 2007.10.15 -
Rising 19.45.01.00 2007.10.15 -
Sophos 4.22.0 2007.10.15 -
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.15 -
TheHacker 6.2.8.091 2007.10.15 -
VBA32 3.12.2.4 2007.10.15 -
VirusBuster 4.3.26:9 2007.10.14 -
Webwasher-Gateway 6.0.1 2007.10.15 -
weitere Informationen
File size: 27914 bytes
MD5: 2460d981cc788207fed2c89df40be3e0
SHA1: 5ba8ac2da42c9caaff33da073591936cebd796c3

Hier die Auswertung bei Virustotal.

Vielen Dank cosinus für deine schnelle Antwort!
Die Datei C:\WINDOWS\system32\ntos.exe konnte ich nicht finden, daher habe ich ntos.sys genommen, war das richtig?
Die Auswertung interpretiere ich als Laie eher als positiv da nichts gefunden wurde, sehe ich das richtig?
Wie soll ich nun weiter vorgehen?

Gruß,
allezmg

*hust**hust*

Zitat:

[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4776f52c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776266b.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\47762675.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 468b8e65.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776f52c.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP957\A0338254.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.R
[INFO] Eine Sicherungskopie wurde unter dem Namen 47451269.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\2.tmp

allezmg, wir wollten die Auswertung der ntos.exe und nicht der ntdos.sys

Um versteckte Dateien sichtbar zu machen folge bitte dieser anleitung

--------------> http://tinyurl.com/ytpwon <-------

Oh, das ist mir aber peinlich.
Pardon, und danke für den Hinweis

Ich habe die Anleitung (Sichtbar machen versteckter Dateien) befolgt und dann den Dateinamen in die Suche eingegeben und auch selber noch einmal den Ordner C:\WINDOWS\system32\ durchgesucht, jedoch kann ich dort keine Datei namens ntos.exe finden können.
Die einzig ähnlich lautende Datei lautet ntoskrnl.exe.

Hilft das weiter?

EDIT: Wenn ich den Pfad einmal direkt bei Virustotal eingebe und nicht über durchsuchen kommt die Meldung "0 bytes size received / Se ha recibido un archivo vacio"
Bloß warum endeckt HJ dann die Datei?

Führ mal combofix aus und poste davon das Logfile.

Combofix wird hier nichts bringen...

Zitat:

Zitat von argos

* Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.

* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.

* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.

* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.

* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Einfach mal kopiert, der Kürze der Zeit wegen.

Bei dieser Infektion solltest Du Dir allerdings überlegen, wie sinnvoll sie für Dich ist.
Dieser Befall zieht in der Regel einiges nach sich und bei Hombanking auf dem Rechner hör ich die "bitte formatieren" Klingel klingeln.

Back 2 cosinus...

sers cos

Zitat:

Combofix wird hier nichts bringen...

Nur zur weiteren Analyse, zur sicheren Bereinigung hab ich nicht geschrieben...

Logfile von Combofix:


ComboFix 07-10-12.4 - *** 2007-10-15 21:21:53.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.580 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.

2007-10-15 21:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-15 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
2007-10-15 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
2007-10-15 17:23 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-10-15 17:22 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-10-15 17:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-14 18:01 <DIR> d-------- C:\Programme\Trend Micro
2007-10-05 17:58 1,101,856 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-05 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MailFrontier
2007-10-05 17:50 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-10-05 17:50 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-10-05 17:49 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-10-05 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\iolo
2007-10-05 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\iolo
2007-10-04 21:11 <DIR> d-------- C:\Sierra
2007-09-24 01:30 <DIR> d-------- C:\Programme\BearShare Applications

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 10:24 --------- d-----w C:\Programme\PokerStars
2007-10-14 09:40 13,664 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-13 18:44 --------- d-----w C:\Programme\Full Tilt Poker.Net
2007-10-08 15:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-10-04 22:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-04 20:36 21,840 -c--atw C:\WINDOWS\system32\SIntfNT.dll
2007-10-04 20:36 17,212 -c--atw C:\WINDOWS\system32\SIntf32.dll
2007-10-04 20:36 12,067 -c--atw C:\WINDOWS\system32\SIntf16.dll
2007-10-04 17:44 --------- d-----w C:\Programme\ICQLite
2007-09-30 16:15 --------- d-----w C:\Programme\Foxmail
2007-09-17 17:17 94,072 -c--a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-14 13:32 --------- d-----w C:\Programme\EA SPORTS
2007-09-01 14:40 74,240 ------w C:\WINDOWS\AKDeInstall.exe
2007-09-01 14:16 --------- d-----w C:\Programme\The Games Company
2007-08-24 14:24 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-18 09:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-01-27 23:18 279 ----a-w C:\Dokumente und Einstellungen\***\Comunio.dat
2006-12-17 16:49 13 ----a-w C:\Dokumente und Einstellungen\***\Verinfo.dat
2006-12-17 16:49 1,024 ----a-w C:\Dokumente und Einstellungen\***\Config.dat
2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 20:27:00 422,400 --sha-r C:\WINDOWS\x2.64.exe
2004-01-13 20:55:07 32 -csha-w C:\WINDOWS\{14D90A4D-DDF4-464D-BECA-148C32EC39B0}.dat
2005-10-07 18:14:52 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-04-24 13:56:11 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-04-27 09:24:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 12:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
2004-01-13 20:55:07 32 --sha-w C:\WINDOWS\system32\{D2C27EAA-9C7D-49F3-B3D4-C2AD1D4D452C}.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-09-21 09:34]
"Dit"="Dit.exe" [2002-08-28 13:43 C:\WINDOWS\Dit.exe]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 C:\WINDOWS\SOUNDMAN.EXE]
"CapFax"="C:\Programme\Classic PhoneTools\CapFax.EXE" [2001-12-10 17:34]
"Agent"="C:\Programme\Medion\PowerCinema\My_TV\Agent.exe" [2002-09-26 16:49]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43]
"2kadiras"="2kadiras.exe" [2002-04-12 13:34 C:\WINDOWS\2kadiras.exe]
"9xadiras"="9xadiras.exe" []
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-25 16:23]
"nwiz"="nwiz.exe" [2005-11-11 14:47 C:\WINDOWS\system32\nwiz.exe]
"AVGCtrl"="C:\Programme\AVPersonal\AVGNT.exe" []
"AVAUTODELETE"="C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 12:22]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-24 22:01]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"googletalk"="C:\Programme\Google\Google Talk\googletalk.exe" [2007-01-01 23:22]
"Mirabilis ICQ"="C:\Programme\ICQ6\ICQ.exe" []
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"Start WingMan Profiler"="" []
"WinSweep"="C:\Programme\WinSweep\WinSweep.exe" []
"WinSweep Popupblocker"="C:\Programme\WinSweep\WSPopup.Exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec Network Driver Update Warning"=C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"UseDesktopIniCache"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Kodak software updater.lnk]
path=C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Kodak software updater.lnk
backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Programme\Napster\napster.exe /systray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

R1 DcCam;Kodak Camera Proxy;C:\WINDOWS\system32\DRIVERS\DcCam.sys
R2 ACEDRV08;ACEDRV08;\??\C:\WINDOWS\system32\drivers\ACEDRV08.sys
R2 DCFS2K;Kodak DCFS2K Driver;C:\WINDOWS\system32\drivers\dcfs2k.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S1 Exportit;Exportit;C:\WINDOWS\system32\DRIVERS\exportit.sys
S3 DcFpoint;DcFpoint;C:\WINDOWS\system32\DRIVERS\DcFpoint.sys
S3 DcLps;Legacy Polling Service;C:\WINDOWS\system32\DRIVERS\DcLps.sys
S3 DcPTP;dcptp;C:\WINDOWS\system32\DRIVERS\DcPTP.sys
S3 gsplittm;gsplittm;\??\C:\DOKUME~1\***\LOKALE~1\Temp\gsplittm.sys
S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys
S3 ovt519;%USB\vid_054c&pid_0155.DeviceDesc%;C:\WINDOWS\system32\Drivers\ov519vid.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-15 15:23:53 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***://www.gmer.net
Rootkit scan 2007-10-15 21:31:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AVAUTODELETE = "C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart?????????????8??|???|???|`?@????????w???w???????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 21:34:08
.
--- E O F ---

Sophos sagt:

No hidden items found by scan.



@BataAlexander
Mit Homebanking habe ich eigentlich nichts am Hut..und um die Formatierung würde ich natürlich auch ganz gerne herumkommen, vielleicht klingeln die Klingeln in meinem Fall dann noch nicht ganz so Laut

Grüße und danke Für Eure Mühen!

allezmg

Code: Alles auswählenAufklappen

ATTFilter

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2
         

Wohl der Grund deiner Probleme: In der combofix ist auch ein Rootkitscanner (gmer) - der hat schon mal zumindest zwei versteckte Module gefunden. Derartig versteckte Module findest du nicht auf bekanntem Weg, nur per rootkitscanner oder über ein Fremdsystem.

Ich denke aber BataAlexander hat recht - du solltest das System neuaufsetzen, bei Rootkits sollte man verdammt vorsichtig sein und kein Risiko eingehen.

Hm, da bleibt wohl nichts anderes übrig..schade.

Wie soll ich jetzt am besten weiter vorgehen? Habe soetwas noch nie gemacht..Zuallererst einmal die wichtigen Dateien sichern?

Hast du/habt ihr in Zukunft Tipps damit soetwas nach Möglichkeit nicht nochmal passieren wird? Bisher hatte ich an Security: ZoneAlarm (Firewall); AntiVir, Spybot -S&D und Ad Aware und habe immer monatlich einen Scann bei den jeweiligen Programmen durchgeführt.
Vielleicht doch besser von Freeware auf Programme umsteigen bei denen man bezahlen muss (ala Norton, obwohl ich da nicht die besten Erfahrungen gemacht, bzw. die positivsten Dinger von gehört habe)?

Kann man eigentlich herausfinden wie soetwas überhaupt passieren konnte?

Danke und gute Nacht

Zitat:

Wie soll ich jetzt am besten weiter vorgehen? Habe soetwas noch nie gemacht..Zuallererst einmal die wichtigen Dateien sichern?

Wichtige Daten solltest du immer und regelmäßig sichern! Es muss nicht immer Schädlingsbefall sein, was machst du wenn deine Festplatte von heute auf morgen stirbt?!
Aber nun wo das Kind in den Brunnen gefallen resp. dein System verseucht ist, solltest du nur noch die allerwichtigsten Dateien sichern - die dürfen aber nicht ausführbar sein. Also keine *.exe, .*com oder sowas. Sichern kannst du Datendateien wie Dokumente, Textdateien, Musik und Videos.

Zitat:

Hast du/habt ihr in Zukunft Tipps damit soetwas nach Möglichkeit nicht nochmal passieren wird? Bisher hatte ich an Security: ZoneAlarm (Firewall); AntiVir, Spybot -S&D und Ad

Und wie du siehst, können Sicherheitsprogramme eben nicht nachhaltig vor Befall schützen. Lies hier mal weiter.

Zitat:

Kann man eigentlich herausfinden wie soetwas überhaupt passieren konnte?

Nicht wirklich - ich könnte aber Vermutungen anstellen. Du könntest evtl. zu unvorsichtig gewesen sein und hast eben doch eine nicht vertrauenswürdige EXE oder so angeklickt, gerade weil der Virenscanner nichts gefunden hat, aber er hat den Schädling übersehen. Ist im Fachjargon auch als Risikokompensation bekannt.

Weitere Tipps und eine detailierte Vorgehensweise zum Neuaufsetzen findest du im Link "neu aufsetzen" in meiner Signatur.