Laptop langsam, Virenmeldungen Hilfe!!!

Tarek · 14.10.2007, 22:59

Hallo,
Ich habe seit mehreren Tagen das problem, das mein Laptop sehr langsam ist und sich öfters aufhängt.Vor zwei Tagen öffneten sich ständig Fenster, in denen auf English stand das mein Computer mit Spyware infiziert ist, Wenn ich die Spyware beseitigen will, soll ich auf Ja drücken. Ich habe aber immer Nein gedrückt, weil mir das sehr verdächtig war. AntiVir Meldete auch ständig Funde von Viren. Ich habe AntiVir jetzt Deaktiviert, weil mir das arbeiten nicht mehr möglich war, ich war nur noch mit klicken beschäfftigt. Ich habe jetzt mehrere kostenlose anti spyware programme ausprobiert, aber keins konnte mein Problem lösen. Manche Programme, wie z.B. Spybot S&D konnte ich gar nicht öffnen. Ich habe hier auch den HijackThis log angehängt. Bitte helft mir!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:21, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\*NAME*\Desktop\Antivirus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\hsoffpdj.dll (file missing)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\vvgmronv.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2A96D88B-55DD-46de-8235-455759988526} (Intel Content Update) - http://vvswupdate.intel-support.com/gtwebcheck/prod_en/161/install/gtdownin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC091D7-8753-4F1B-B492-E533E216B4F5}: NameServer = 192.168.178.1
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yylnfjux.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 6433 bytes

cosinus · 14.10.2007, 23:21

Hallo.

Code:

ATTFilter

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\hsoffpdj.dll (file missing)
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\vvgmronv.dll",sitypnow

Diese Einträge mit HijackThis fixen. Danach ist eine weitere, gründlichere Analyse fällig: Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- Combofix

cosinus · 14.10.2007, 23:26

- gelöscht -

Tarek · 15.10.2007, 12:59

escan habe ich schon durchlaufen lasen.
Die anderen werde ich jetzt versuchen.
Wie funktioniert eigentlich das fixen dieser einträge mit hijackthis???

Edit:
Hier ist der log von Combofix:

ComboFix 07-10-12.4 -*NAME* 2007-10-15 14:12:05.1 - FAT32x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.845 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*NAME*\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Hammer.dll
C:\WINDOWS\cookies.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\bkglxggh.exe
C:\WINDOWS\system32\cuwvwrhx.dll
C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\jkeclqnk.exe
C:\WINDOWS\system32\mhedmybu.exe
C:\WINDOWS\system32\qwpbavvu.ini
C:\WINDOWS\system32\rvpoqfnv.dll
C:\WINDOWS\system32\slvhqabu.ini
C:\WINDOWS\system32\srxmouys.exe
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\ubaqhvls.dll
C:\WINDOWS\system32\uvvabpwq.dll
C:\WINDOWS\system32\vnfqopvr.ini
C:\WINDOWS\system32\xhrwvwuc.ini
C:\WINDOWS\system32\xybeg.bak1
C:\WINDOWS\system32\xybeg.bak1
C:\WINDOWS\system32\xybeg.bak1
C:\WINDOWS\system32\xybeg.bak2
C:\WINDOWS\system32\xybeg.bak2
C:\WINDOWS\system32\xybeg.bak2
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini
C:\WINDOWS\system32\xybeg.ini2
C:\WINDOWS\system32\xybeg.ini2
C:\WINDOWS\system32\xybeg.ini2
C:\WINDOWS\system32\xybeg.tmp
C:\WINDOWS\system32\xybeg.tmp
C:\WINDOWS\system32\xybeg.tmp
C:\WINDOWS\system32\yubcdgwj.exe
C:\WINDOWS\system32\yxrhhtqv.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService

((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.

2007-10-15 14:10 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-15 13:48 389,184 --a------ C:\WINDOWS\system32\vhiveexq.exe
2007-10-14 23:10 389,184 --a------ C:\WINDOWS\system32\kjeddvch.exe
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-14 22:11 389,184 --a------ C:\WINDOWS\system32\kmbshqpd.exe
2007-10-14 22:06 389,184 --a------ C:\WINDOWS\system32\ywhceqpq.exe
2007-10-14 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-14 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-14 21:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-14 21:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-14 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-14 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-14 21:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-14 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2007-10-14 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2007-10-14 21:57 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-14 21:53 389,184 --a------ C:\WINDOWS\system32\tipwwdcf.exe
2007-10-14 21:42 389,184 --a------ C:\WINDOWS\system32\fpxjlmgs.exe
2007-10-14 21:29 153,600 --a------ C:\WINDOWS\R.COM
2007-10-14 21:29 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-14 21:09 389,184 --a------ C:\WINDOWS\system32\anammufb.exe
2007-10-14 21:08 389,184 --a------ C:\WINDOWS\system32\prjkkbqb.exe
2007-10-14 10:41 <DIR> d-------- C:\FOUND.007
2007-10-13 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\*NAME*\DoctorWeb
2007-10-13 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-13 13:53 <DIR> d-------- C:\FOUND.006
2007-10-12 18:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2007-10-12 18:16 197,120 --a------ C:\WINDOWS\patchw32.dll
2007-10-12 18:13 <DIR> d-------- C:\Programme\Atari
2007-10-07 21:13 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-10-07 20:10 <DIR> d-------- C:\Programme\JEDISware
2007-10-07 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\*NAME*\Anwendungsdaten\Atari
2007-09-22 02:41 <DIR> d-------- C:\Programme\Total Video Converter
2007-09-22 02:36 <DIR> d-------- C:\Programme\YouTube Video Downloader
2007-09-22 02:26 <DIR> d-------- C:\Dokumente und Einstellungen\*NAME*\Anwendungsdaten\Xilisoft Corporation

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-29 20:32 286,720 ----a-w C:\WINDOWS\iun506.exe
2007-08-22 13:13 96,768 ----a-w C:\WINDOWS\system32\dllcache\inseng.dll
2007-08-22 13:13 664,576 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-22 13:13 617,472 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-22 13:13 55,808 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-22 13:13 532,480 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-22 13:13 474,624 ----a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-08-22 13:13 449,024 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-22 13:13 39,424 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-08-22 13:13 357,888 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-08-22 13:13 3,079,168 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-22 13:13 251,392 ----a-w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-08-22 13:13 205,312 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-22 13:13 16,384 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-22 13:13 152,064 ----a-w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-08-22 13:13 146,432 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-22 13:13 1,494,528 ----a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-22 13:13 1,056,256 ----a-w C:\WINDOWS\system32\dllcache\danim.dll
2007-08-22 13:13 1,022,976 ----a-w C:\WINDOWS\system32\dllcache\browseui.dll
2007-08-21 10:30 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{688E2EEB-6F79-4166-926E-889FD959A44A}]
C:\WINDOWS\system32\ieakui32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl]
"LaunchApp"="Alaunch" []
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 21:50 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-19 09:42 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-07-19 09:42 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 09:41]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 06:13]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00]
"Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 20:18]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-04 16:44]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 15:48]
"Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 22:12]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 12:13]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 12:35]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe" [2006-11-17 15:16]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-16 12:51]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-16 12:51]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-16 12:51]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-08-04 16:44]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 17:00]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 08:18]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\gebyx.dll

R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R2 int15;int15;\??\C:\WINDOWS\system32\drivers\int15.sys
R2 tvicport;tvicport;\??\C:\WINDOWS\system32\drivers\tvicport.sys
R3 DKbFltr;Dritek Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\DKbFltr.sys
R3 psdfilter;psdfilter;\??\C:\WINDOWS\system32\Drivers\psdfilter.sys
R3 psdvdisk;psdvdisk;\??\C:\WINDOWS\system32\Drivers\psdvdisk.sys
S2 ntfont;ntfont driver;C:\WINDOWS\system32\DRIVERS\ntfont.sys
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
S3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys
S3 vsbus;Virtual Serial Bus Enumerator;C:\WINDOWS\system32\DRIVERS\vsb.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89550b0f-a80c-11db-8e0d-00197d196713}]
AutoRun\command - F:\pushinst.exe

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 14:19:32
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 14:20:36 - machine was rebooted
.
--- E O F ---

Tarek · 15.10.2007, 13:51

und hier der log von sillentrunners :

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"LaunchApp" = "Alaunch" ["Acer Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"AzMixerSel" = "C:\Programme\Realtek\InstallShield\AzMixerSel.exe" ["Realtek Semiconductor Corp."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ntiMUI" = "C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [null data]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"eDataSecurity Loader" = "C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0" ["HiTRUST"]
"Acer ePresentation HPD" = "C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" ["Acer Inc."]
"AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["AOL LLC"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ePower_DMC" = "C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [null data]
"Boot" = "C:\Acer\Empowering Technology\ePower\Boot.exe" [null data]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" ["Dritek System Inc."]
"eRecoveryService" = "C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" ["Acer Inc."]
"AVMWlanClient" = "C:\Programme\avmwlanstick\FRITZWLANMini.exe" ["AVM Berlin GmbH"]
"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe" ["America Online, Inc."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Persistence" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{688E2EEB-6F79-4166-926E-889FD959A44A}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieakui32.dll" [file not found]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"
-> {HKLM...CLSID} = "EPM-PO Shell Extensions"
\InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "c:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
EDSshellExt\(Default) = "{29FF7AB0-BE34-4992-A30B-53A9D86EE239}"
-> {HKLM...CLSID} = "eDSshlExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\eDSshellExt.dll" ["HiTRUST"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
EDSshellExt\(Default) = "{29FF7AB0-BE34-4992-A30B-53A9D86EE239}"
-> {HKLM...CLSID} = "eDSshlExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\eDSshellExt.dll" ["HiTRUST"]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\*NAME*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "*NAME*" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Acer Empowering Technology" -> shortcut to: "C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe" [null data]
"AOL 9.0 Tray-Symbol" -> shortcut to: "C:\Programme\AOL 9.0\aoltray.exe -check" ["America Online, Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 05, 08 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}"
-> {HKLM...CLSID} = "Acer eDataSecurity Management"
\InProcServer32\(Default) = "C:\WINDOWS\system32\eDStoolbar.dll" ["HiTRUST"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}" = (no title provided)
-> {HKLM...CLSID} = "Acer eDataSecurity Management"
\InProcServer32\(Default) = "C:\WINDOWS\system32\eDStoolbar.dll" ["HiTRUST"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

Anwendungsverwaltung, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
AOL Connectivity Service, AOL ACS, "C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE" ["AOL LLC"]
ASP.NET-Statusdienst, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
AVM WLAN Connection Service, AVM WLAN Connection Service, "C:\Programme\avmwlanstick\WlanNetService.exe" ["AVM Berlin"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\MsPMSNSv.dll" [MS]}
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
InstallDriver Table Manager, IDriverT, ""C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe"" ["Macrovision Corporation"]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
LiveUpdate Notice Service, LiveUpdate Notice Service, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll"" ["Symantec Corporation"]
Memory Check Service, AcerMemUsageCheckService, "C:\Acer\Empowering Technology\ePerformance\MemCheck.exe" [null data]
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
SNMP-Trap-Dienst, SNMPTRAP, "C:\WINDOWS\System32\snmptrap.exe" [MS]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]

---------- (launch time: 2007-10-15 14:27:32)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 49 seconds, including 16 seconds for message boxes)

cosinus · 15.10.2007, 18:26

Zitat:

Wie funktioniert eigentlich das fixen dieser einträge mit hijackthis???

- HJT starten und auf "do a system scan only" klicken
- ALLE anderen Programme beenden und jedes Explorerfenster schließen!
- entsprechende Einträge in HJT markieren, also Häkchen davor in der checkbox setzen
- unten auf den Button "fix checked" klicken

Ich schau mir derweil mal eben die Logfiles an.

Tarek · 15.10.2007, 18:34

Die Einträge sind nicht mehr vorhanden
soll ich eine neue log erstellen?

Bam00by · 15.10.2007, 18:35

yoa denk ich mal um zu überprüfen ob sie wirklich weg sind

cosinus · 15.10.2007, 18:41

Ein paar Dateien sollten wir löschen:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\vhiveexq.exe
C:\WINDOWS\system32\kjeddvch.exe
C:\WINDOWS\system32\kmbshqpd.exe
C:\WINDOWS\system32\ywhceqpq.exe
C:\WINDOWS\system32\tipwwdcf.exe
C:\WINDOWS\system32\fpxjlmgs.exe
C:\WINDOWS\system32\anammufb.exe
C:\WINDOWS\system32\prjkkbqb.exe
C:\WINDOWS\system32\gebyx.dll
C:\WINDOWS\system32\vvgmronv.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei und lass danach combofix nochmal durchlaufen

Tarek · 15.10.2007, 19:04

Ok,
hier die avenger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\awyqgoec

*******************

Script file located at: \??\C:\WINDOWS\xxrvsnyn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\vhiveexq.exe not found!
Deletion of file C:\WINDOWS\system32\vhiveexq.exe failed!

Could not process line:
C:\WINDOWS\system32\vhiveexq.exe
Status: 0xc0000034

File C:\WINDOWS\system32\kjeddvch.exe not found!
Deletion of file C:\WINDOWS\system32\kjeddvch.exe failed!

Could not process line:
C:\WINDOWS\system32\kjeddvch.exe
Status: 0xc0000034

File C:\WINDOWS\system32\kmbshqpd.exe not found!
Deletion of file C:\WINDOWS\system32\kmbshqpd.exe failed!

Could not process line:
C:\WINDOWS\system32\kmbshqpd.exe
Status: 0xc0000034

File C:\WINDOWS\system32\ywhceqpq.exe not found!
Deletion of file C:\WINDOWS\system32\ywhceqpq.exe failed!

Could not process line:
C:\WINDOWS\system32\ywhceqpq.exe
Status: 0xc0000034

File C:\WINDOWS\system32\tipwwdcf.exe not found!
Deletion of file C:\WINDOWS\system32\tipwwdcf.exe failed!

Could not process line:
C:\WINDOWS\system32\tipwwdcf.exe
Status: 0xc0000034

File C:\WINDOWS\system32\fpxjlmgs.exe not found!
Deletion of file C:\WINDOWS\system32\fpxjlmgs.exe failed!

Could not process line:
C:\WINDOWS\system32\fpxjlmgs.exe
Status: 0xc0000034

File C:\WINDOWS\system32\anammufb.exe not found!
Deletion of file C:\WINDOWS\system32\anammufb.exe failed!

Could not process line:
C:\WINDOWS\system32\anammufb.exe
Status: 0xc0000034

File C:\WINDOWS\system32\prjkkbqb.exe not found!
Deletion of file C:\WINDOWS\system32\prjkkbqb.exe failed!

Could not process line:
C:\WINDOWS\system32\prjkkbqb.exe
Status: 0xc0000034

File C:\WINDOWS\system32\gebyx.dll not found!
Deletion of file C:\WINDOWS\system32\gebyx.dll failed!

Could not process line:
C:\WINDOWS\system32\gebyx.dll
Status: 0xc0000034

File C:\WINDOWS\system32\vvgmronv.dll not found!
Deletion of file C:\WINDOWS\system32\vvgmronv.dll failed!

Could not process line:
C:\WINDOWS\system32\vvgmronv.dll
Status: 0xc0000034

Completed script processing.

*******************

und hier die von combofix:

ComboFix 07-10-12.4 - *NAME* 2007-10-15 19:49:49.3 - FAT32x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.812 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*NAME*\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.

2007-10-15 19:44 126,976 --a------ C:\zip.exe
2007-10-15 19:44 60,416 --a------ C:\WINDOWS\system32\drivers\rimpyvjv.sys
2007-10-15 19:44 1,080 --a------ C:\rswuiqme.bat
2007-10-15 17:25 <DIR> d-------- C:\bases_x
2007-10-15 17:07 <DIR> d-------- C:\VundoFix Backups
2007-10-15 16:37 <DIR> d-------- C:\Programme\Avira
2007-10-15 16:30 <DIR> d-------- C:\Programme\Yahoo!
2007-10-15 16:30 <DIR> d-------- C:\Programme\CCleaner
2007-10-15 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-15 14:10 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-14 22:13 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-14 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-14 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-14 21:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-14 21:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-14 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-14 21:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-14 21:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-14 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2007-10-14 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2007-10-14 21:57 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-14 21:29 153,600 --a------ C:\WINDOWS\R.COM
2007-10-14 21:29 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-14 10:41 <DIR> d-------- C:\FOUND.007
2007-10-13 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\*NAME*\DoctorWeb
2007-10-13 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-13 13:53 <DIR> d-------- C:\FOUND.006
2007-10-12 18:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2007-10-12 18:16 197,120 --a------ C:\WINDOWS\patchw32.dll
2007-10-12 18:13 <DIR> d-------- C:\Programme\Atari
2007-10-07 21:13 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-10-07 20:10 <DIR> d-------- C:\Programme\JEDISware
2007-10-07 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\*NAME*\Anwendungsdaten\Atari
2007-09-22 02:41 <DIR> d-------- C:\Programme\Total Video Converter
2007-09-22 02:36 <DIR> d-------- C:\Programme\YouTube Video Downloader
2007-09-22 02:26 <DIR> d-------- C:\Dokumente und Einstellungen\*NAME*\Anwendungsdaten\Xilisoft Corporation

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-29 20:32 286,720 ----a-w C:\WINDOWS\iun506.exe
2007-08-22 13:13 96,768 ----a-w C:\WINDOWS\system32\dllcache\inseng.dll
2007-08-22 13:13 664,576 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-22 13:13 617,472 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-22 13:13 55,808 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-22 13:13 532,480 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-22 13:13 474,624 ----a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-08-22 13:13 449,024 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-22 13:13 39,424 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-08-22 13:13 357,888 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-08-22 13:13 3,079,168 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-22 13:13 251,392 ----a-w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-08-22 13:13 205,312 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-22 13:13 16,384 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-22 13:13 152,064 ----a-w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-08-22 13:13 146,432 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-22 13:13 1,494,528 ----a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-22 13:13 1,056,256 ----a-w C:\WINDOWS\system32\dllcache\danim.dll
2007-08-22 13:13 1,022,976 ----a-w C:\WINDOWS\system32\dllcache\browseui.dll
2007-08-21 10:30 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
.

((((((((((((((((((((((((((((( snapshot@2007-10-15_14.20.08.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
+ 2007-08-09 11:04:06 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 12:22:14 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-10-15 14:38:54 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 08:34:32 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{688E2EEB-6F79-4166-926E-889FD959A44A}]
C:\WINDOWS\system32\ieakui32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl]
"LaunchApp"="Alaunch" []
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 21:50 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-19 09:42 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-07-19 09:42 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 09:41]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 06:13]
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 11:15]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 15:00]
"Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 20:18]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-04 16:44]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 15:48]
"Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 22:12]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 12:13]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 12:35]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1179505828\ee\AOLSoftware.exe" [2006-11-17 15:16]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-16 12:51]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-16 12:51]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-16 12:51]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-08-04 16:44]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 16:38]
"awxhaorq"="C:\rswuiqme.bat" [2007-10-15 19:44]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 17:00]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 08:18]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

R0 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R3 DKbFltr;Dritek Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\DKbFltr.sys
S2 int15;int15;\??\C:\WINDOWS\system32\drivers\int15.sys
S2 ntfont;ntfont driver;C:\WINDOWS\system32\DRIVERS\ntfont.sys
S2 tvicport;tvicport;\??\C:\WINDOWS\system32\drivers\tvicport.sys
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
S3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys
S3 psdfilter;psdfilter;\??\C:\WINDOWS\system32\Drivers\psdfilter.sys
S3 psdvdisk;psdvdisk;\??\C:\WINDOWS\system32\Drivers\psdvdisk.sys
S3 vsbus;Virtual Serial Bus Enumerator;C:\WINDOWS\system32\DRIVERS\vsb.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89550b0f-a80c-11db-8e0d-00197d196713}]
AutoRun\command - F:\pushinst.exe

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 19:50:57
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 19:51:19
C:\ComboFix3.txt ... 2007-10-15 14:20
C:\ComboFix2.txt ... 2007-10-15 18:35
.
--- E O F ---

cosinus · 15.10.2007, 19:09

Das gibs doch nicht!

Code:

ATTFilter

C:\zip.exe
C:\WINDOWS\system32\drivers\rimpyvjv.sys

Werte mal online bei Virustotal diese Dateien aus und poste sämtliche Ergebnisse!

Tarek · 15.10.2007, 19:13

Ich mochte noch etwas hinzufügen, Vielleicht ist es ja wichtig:
Ich habe gerade das hier gelesen:
Wie erkenne ich ob ich Zlob habe?

Zitat:

Zlob gibt es in verschiedenen Varianten, die meisten sind daran zu erkennen, dass sie zum Installieren eines bestimmten, angeblichen Antispywareprogramms auffordern. In den häufigsten Fällen sind es folgende Programme:

Spyware Quake
Spyware Falcon
Spy(ware)Sheriff
Titan Shield

Ich wurde vor zwei Tagen mehrmalls aufgefordert Spyware Sheriff zu Installieren

cosinus · 15.10.2007, 19:16

Ist durchaus möglich, dass auch der Zlob auf dem Rechner werkelt.
Ich wollte aber erstmal wissen, das für Schädlinge die anderen beiden Dateien nun sind.

Tarek · 15.10.2007, 19:16

Warte bitte noch einen moment ich bin noch am auswerten
EDIT:
Ist es normal dass das so lange dauert?

Trojanerade · 16.10.2007, 08:33

Ja das dauert Lange

14.10.2007, 23:26	#3
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Laptop langsam, Virenmeldungen Hilfe!!! - gelöscht - __________________ __________________ Geändert von cosinus (14.10.2007 um 23:29 Uhr) Grund: gelöscht, da mein Posting irgendwie doppel reinkam

15.10.2007, 19:09	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Laptop langsam, Virenmeldungen Hilfe!!! Das gibs doch nicht! Code: ATTFilter C:\zip.exe C:\WINDOWS\system32\drivers\rimpyvjv.sys Werte mal online bei Virustotal diese Dateien aus und poste sämtliche Ergebnisse! __________________ Logfiles bitte immer in CODE-Tags posten

15.10.2007, 19:16	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Laptop langsam, Virenmeldungen Hilfe!!! Ist durchaus möglich, dass auch der Zlob auf dem Rechner werkelt. Ich wollte aber erstmal wissen, das für Schädlinge die anderen beiden Dateien nun sind. __________________ Logfiles bitte immer in CODE-Tags posten

Laptop langsam, Virenmeldungen Hilfe!!!

Plagegeister aller Art und deren Bekämpfung: Laptop langsam, Virenmeldungen Hilfe!!!