Hallo,
bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar!
Kosmo

Zitat:

Zitat von KosmoKramer

Hallo,
bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar!
Kosmo

Versuch es hiermit:


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Hallo Sunny,
sorry war unterwegs und konnte mich erst jetzt wieder um den Computer kümmern.
Also, beim Download von ComboFix.exe hat Kaspersky gemault, dass es sich dabei um einen Virus Heur.Invader (Modifikation) handeln würde. Wie auch immer, ich habe es zugelassen und bei abgeschlatetem Schutz den Rechner gecheckt. Das log-file habe ich angefügt.
So, jetzt habe ich nur noch eine Problem. Leider wurde auch bei der Infektion Files in dem Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18 erstellt. Ich habe diese gelöscht, woraufhin beim Hochfahren eines dieser mit identischer Größe und Namen widerhergestellt wurde, heißt: 6dea747ed38eabf371282d88992c2768_eee0f59d-84a4-4c9c-92da-2b4f3551c1b9!
Ist das noch eine Gefahr? Wie kann man die Tasks, die diese Datei enthalten soll, auslesen?
VG
Kosmo

ComboFix 08-01-20.1 - xxx 2008-01-20 12:53:44.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1658 [GMT 1:00]
ausgeführt von:: C:\Kais stuff\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-20 bis 2008-01-20 ))))))))))))))))))))))))))))))
.

2008-01-20 12:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-16 22:34 . 2008-01-16 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-14 21:50 . 2008-01-14 21:50 <DIR> d-------- C:\VundoFix Backups
2008-01-12 22:38 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-12 22:37 . 2008-01-12 22:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-11 18:21 . 2008-01-11 18:21 <DIR> d-------- C:\Programme\Astragon
2008-01-11 18:13 . 2008-01-11 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Astragon
2008-01-07 23:36 . 2008-01-18 17:20 <DIR> d-------- C:\Programme\XoftSpySE
2008-01-07 22:54 . 2008-01-12 20:46 0 --a------ C:\23990098.$$$
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-07 22:25 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-01-07 22:25 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-01-07 22:25 . 2008-01-12 20:15 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-05 11:42 . 2008-01-05 11:42 <DIR> d-------- C:\Programme\DVDFab HD Decrypter 4
2008-01-05 10:32 . 2008-01-05 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DVD Shrink
2008-01-04 16:16 . 2008-01-04 16:16 <DIR> d-------- C:\Programme\RipIt4Me
2008-01-03 01:15 . C:\WINDOWS\(2) C:\ComboFix\winstart.bat
2008-01-03 01:14 . 2008-01-03 01:14 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Regrun
2008-01-03 01:14 . 2003-09-06 15:55 57,556 --a------ C:\WINDOWS\guard.bmp
2008-01-03 01:13 . 2008-01-03 01:13 <DIR> d-------- C:\Programme\Greatis
2008-01-03 01:03 . 2008-01-03 01:03 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-01-01 19:25 . 2008-01-18 02:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-01-01 13:13 . 2008-01-01 13:14 <DIR> d-------- C:\Programme\QuickTime
2008-01-01 13:13 . 2008-01-01 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-01 12:29 . 2008-01-01 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Panasonic
2008-01-01 12:12 . 2008-01-01 12:14 <DIR> d-------- C:\Programme\Panasonic
2008-01-01 12:12 . 2008-01-01 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\InstallShield
2008-01-01 12:12 . 2005-03-07 19:44 45,056 --a------ C:\WINDOWS\system32\PhDi2.sys
2007-12-31 15:33 . 2007-12-31 15:33 582 --a------ C:\WINDOWS\eReg.dat
2007-12-31 15:21 . 2007-12-31 15:22 <DIR> d-------- C:\Programme\Maxis
2007-12-27 00:51 . 2007-12-27 00:51 <DIR> d-------- C:\WINDOWS\Sun
2007-12-27 00:02 . 2007-12-27 00:19 <DIR> d-------- C:\Programme\AmoK
2007-12-26 23:32 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-26 23:17 . 2007-12-27 00:04 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-12-26 23:17 . 2007-12-26 23:17 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-12-26 23:17 . 2007-12-26 23:17 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-12-26 23:17 . 2007-12-26 23:17 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-26 10:00 . 2007-12-26 10:03 <DIR> d-------- C:\Programme\Security Task Manager
2007-12-26 10:00 . 2008-01-18 02:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-12-25 18:10 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-25 18:10 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-25 18:10 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-25 18:10 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-25 18:10 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-25 18:10 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-25 18:10 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-12-25 18:10 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-25 11:27 . 2007-12-25 11:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2007-12-25 11:27 . 2007-12-25 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2007-12-25 10:52 . 2007-12-25 10:52 <DIR> d-------- C:\WINDOWS\system\IOSUBSYS
2007-12-25 10:52 . 2007-12-25 10:52 <DIR> d-------- C:\Programme\PENTAX
2007-12-23 08:09 . 2007-12-23 08:13 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-12-23 08:09 . 2007-12-23 08:13 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-12-23 08:08 . 2008-01-20 13:00 13,640,736 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-23 08:08 . 2008-01-20 12:50 572,192 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-23 08:08 . 2008-01-20 12:50 183,716 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-23 08:08 . 2008-01-20 12:50 54,692 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-23 08:03 . 2007-12-23 08:03 <DIR> d-------- C:\WINDOWS\system32\%BaseFolder%
2007-12-23 03:30 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-23 03:30 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-12-23 03:09 . 2004-08-04 13:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2007-12-23 03:07 . 2004-08-04 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2007-12-23 03:06 . 2004-08-04 13:00 43,520 --a--c--- C:\WINDOWS\system32\dllcache\admwprox.dll
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2007-12-23 03:03 . 2004-08-04 13:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2007-12-23 01:13 . 2007-12-23 01:13 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-12-23 00:17 . 2007-12-23 00:17 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-23 00:17 . 2008-01-20 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-22 21:10 . 2007-12-22 21:10 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-22 20:33 . 2008-01-19 12:50 41 --a------ C:\WINDOWS\WSST_Screen_Saver.ini
2007-12-22 17:08 . 2007-12-22 17:08 126 --a------ C:\WINDOWS\winomnifile.dat
2007-12-22 17:06 . 2007-12-23 02:00 <DIR> d-------- C:\Programme\PrevxCSI
2007-12-22 16:51 . 2007-12-22 16:51 <DIR> d-------- C:\Programme\Trend Micro
2007-12-22 15:38 . 2007-12-22 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sunbelt Software
2007-12-22 14:02 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-22 12:54 . 2007-12-22 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-22 12:13 . 2007-12-22 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-22 12:12 . 2008-01-12 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PrevxCSI
2007-12-22 11:17 . 2007-12-22 11:17 <DIR> d-------- C:\kav
2007-12-21 08:58 . 2004-02-17 12:25 1,252,762 --a------ C:\WINDOWS\system32\Camel Screen Saver.dat
2007-12-21 08:58 . 2004-02-17 12:25 466,944 --a------ C:\WINDOWS\system32\Camel Screen Saver.scr
2007-12-20 12:23 . 2007-12-20 12:23 <DIR> d-------- C:\Programme\ClonyXXL
2007-12-20 12:23 . 2007-12-20 12:27 204 --a------ C:\WINDOWS\Clony2.ini
2007-12-20 11:39 . 2007-12-20 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ATI
2007-12-20 11:37 . 2007-05-25 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Vorlagen
2007-12-20 11:37 . 2007-01-01 00:35 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmen�
2007-12-20 11:37 . 2007-01-01 00:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2007-12-20 11:37 . 2007-01-01 00:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2007-12-20 11:37 . 2007-12-20 11:37 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2007-12-20 11:37 . 2007-12-20 11:38 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 11:50 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FRITZ!
2008-01-16 21:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-01-12 21:38 --------- d-----w C:\Programme\Java
2008-01-12 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-12 19:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-04 15:58 --------- d-----w C:\Programme\UltraStar Deluxe test
2008-01-04 15:20 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\RipIt4Me
2008-01-04 15:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-04 15:02 213,054 ----a-w C:\WINDOWS\GSetup.exe
2008-01-04 14:16 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Ahead
2008-01-03 17:30 --------- d-----w C:\Programme\FRITZ!DSL
2008-01-02 22:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-01-01 11:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-26 22:50 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2007-12-26 13:50 --------- d-----w C:\Programme\Google
2007-12-25 10:27 --------- d-----w C:\Programme\ACD Systems
2007-12-23 00:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-12-22 22:08 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-12-22 22:08 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-12-22 18:47 160,768 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
2007-12-20 10:20 --------- d-----w C:\Programme\EA GAMES
2007-12-18 12:27 --------- d-----w C:\Programme\MSXML 4.0
2007-12-17 08:09 --------- d-----w C:\Programme\Jasc Software Inc
2007-12-17 08:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Jasc Software Inc
2007-12-17 08:05 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-17 08:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-12-17 08:04 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Jasc Software Inc
2007-12-17 07:30 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Teleca
2007-12-17 07:28 --------- d-----w C:\Programme\Sony Ericsson
2007-12-17 07:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-12-17 07:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2007-12-17 07:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2007-12-09 19:26 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ACD Systems
2007-12-04 20:00 --------- d-----w C:\Programme\Logitech
2007-12-04 20:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-12-03 22:43 --------- d-----w C:\Programme\Microsoft Works
2007-12-03 22:32 --------- d-----w C:\Programme\Microsoft Works Suite 2002
2007-12-03 22:30 --------- d-----w C:\Programme\Microsoft AutoRoute
2007-12-03 22:19 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-03 22:14 --------- d-----w C:\Programme\SPSS07
2007-12-03 20:54 --------- d-----w C:\Programme\PCI Audio Applications
2007-12-03 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground
2007-12-03 18:26 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-12-02 00:13 --------- d-----w C:\Programme\Picasa2
2007-12-02 00:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2007-12-02 00:02 --------- d-----w C:\Programme\Nero
2007-12-01 23:35 --------- d-----w C:\Programme\DVD Shrink DE
2007-12-01 23:34 --------- d-----w C:\Programme\DVD Decrypter
2007-12-01 22:05 --------- d-----w C:\Programme\DVBViewerTE
2007-12-01 18:46 --------- d-----w C:\Programme\Lavasoft
2007-12-01 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-01 15:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-01 15:39 --------- d-----w C:\Programme\TechniSat DVB
2007-12-01 15:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-12-01 15:32 --------- d-----w C:\Programme\FRITZ!Box
2007-12-01 12:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2007-12-01 12:49 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ArcSoft
2007-12-01 12:47 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\EPSON
2007-12-01 12:43 --------- d-----w C:\Programme\ArcSoft
2007-12-01 12:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Python
2007-12-01 12:42 --------- d-----w C:\Programme\EPSON
2007-12-01 12:35 --------- d-----w C:\Programme\DaViDeo3
2007-12-01 12:32 9,344 ----a-w C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS
2007-12-01 12:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2007-12-01 12:27 --------- d-----w C:\Programme\Ubisoft
2007-12-01 10:09 --------- d-----w C:\Programme\microsoft frontpage
2007-12-01 10:09 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft Web Folders
2007-12-01 09:56 --------- d-----w C:\Programme\Outlook Express Datensicherung
2001-11-22 22:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

Code: Alles auswählenAufklappen

ATTFilter

<pre>
----a-w            92,160 2007-12-22 22:34:57  C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PrevxCSI\PrevxCSI .exe
----a-w           208,896 2007-12-22 21:01:18  C:\Programme\ACD Systems\DevDetect\DEVDET~1 .EXE
----a-w           847,872 2007-12-22 20:14:42  C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3 .exe
----a-w           218,376 2007-12-23 07:01:13  C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
----a-w           160,768 2007-12-22 18:47:47  C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
</pre>
         

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]
"Camera Detector"="C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.exe" [2003-06-28 22:55 208896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]

C:\Dokumente und Einstellungen\xxx\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-22 19:13:45 913408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Server4PC.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Server4PC.lnk
backup=C:\WINDOWS\pss\Server4PC.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^AP Launch.lnk]
path=C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\ap launch.lnk
backup=C:\WINDOWS\pss\ap launch.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk]
path=C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk
backup=C:\WINDOWS\pss\Sonic CinePlayer Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-03 11:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 15:17 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-12-05 12:30 2295072 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrevxCSI]
C:\Programme\PrevxCSI\prevxcsi .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vuhgpwbq]
C:\Programme\vuhgpwbq\hshslgbo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wlgvgxqn]
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wlgvgxqn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"helpsvc"=2 (0x2)
"gusvc"=3 (0x3)
"GEARSecurity"=2 (0x2)
"Symantec Core LC"=3 (0x3)
"NMIndexingService"=3 (0x3)
"LightScribeService"=2 (0x2)
"aawservice"=2 (0x2)

R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2002-07-19 08:10]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 11:35]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 00:00]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 02:22]
S0 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 11:35]
S3 zlportio;zlportio;C:\Spiele\Ultrastar Deluxe englisch II\zlportio.sys []


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 13:00:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-20 13:03:13
ComboFix-quarantined-files.txt 2008-01-20 12:03:09
.
2008-01-10 20:50:54 --- E O F ---

Hallo,
noch ein kleiner Nachtrag: habe jetzt zum 2. Mal eine Datei Namens pinfect.zip in meinem System gefunden, die von Kaspersky als password-geschützt angesehen wird. Sie entält Vfind.exe, WSST_Screen_Saver.ini, usw.. Ich habe sie jetzt schon zum 2. Mal gelöscht, sie kommt aber immer wieder. Wie kann das sein? Was ist das schon wieder?
VG
Kai

Hallo,
ich werde meinen Monolog noch ein bisschen weiterführen.
Mittlerweile weiß ich, dass die pinfect.zip von Escan angelegt wurden, neben einen Haufen weiterer Folder, die nichts enthalten (sehr nervig!):
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Was sind das eigentlich für exe-Dateien, die ein Leerzeichen beinhalten, z.B. avp .exe. Diese sind genauso groß wie die richtigen Exe-Dateien (z.B avp.exe)? Welches Programm hat denn diese generiert?

Folgende Sachen stören mich auch noch :
C:\WINDOWS\WSST_Screen_Saver.ini (dies ist ein Link!) und
C:\WINDOWS\winomnifile.dat

Außerdem finde ich die im Log angegebene Datei zlportio.sys auf meinem Rechner nicht. Der beschriebene Ultrastarfolder enthält diese nicht?
VG
Kosmo

Die Datei wird von eScan erstellt und beinhaltet unsignierte Dateien, die in den letzten 2 Wochen erstellt wurden.
Das kannst du auch am anfang der Datei mwav.log die sich im zb im ordner C:\bases_x befinden sollte nachlesen.

Wegen Vundo meld ich mich noch mal. (Dateien mit Leerzeichen)

lg myrtille

EDIT: Ja, du schreibst das ja...

Hi,
die Jungs haben sich nicht nur einen Spass daraus gemacht den Namen deiner Dateien zu ändern, nein sie haben auch gleich noch ihren eigenen Code in die jeweiligen Dateien injiziert, sodass du bei jedem hochfahren deinen Rechner selbst wieder infizierst.

Die folgenden Hinweise wendest du auf eigenen Gefahr hin an:

• Kopiere Folgendes in einen Editor:
  
  Code: Alles auswählenAufklappen

  ATTFilter

   
  EDIT: Auf Wunsch von myrtille entfernt. grüße, schneipi
           

• speichere dies nun als "CFScript" ab
  (Stelle dabei sicher, dass du als "Dateityp" "alle Dateitypen" anwählst und die Datei keine Endung hat)
• Ziehe dann die Datei cfscipt auf combofix.exe, wie du es auf der folgenden Animation sehen kannst:
  
• Es sollte sich nun ein Fenster öffnen, lass den Scan bis zum Schluß durchlaufen, auch wenn deine Desktopicons verschwinden.
• Die Logdatei öffnet sich am Schluß des Scans, ihren Inhalt dann bitte hier posten.

lg myrtille