Hallo,
ich möchte in diesem Board meine Erfahrungen mit einem Angriff auf meinem Computer zusammenfassen. Es wäre nett, wenn der eine oder andere – vielleicht mit ähnlichen Erfahrungen – diese kommentieren könnte oder die Experten dieser Seite zu der Stärke der Bedrohung Stellung nehmen könnten, die durch diverse Programme vermeintlich ausgeräumt würden.
Ich habe von einer nicht vertrauenswürdigen Seite eine gezippte Datei heruntergeladen, die eine patch.exe und crack.exe enthielt. Nach positivem Check mit meiner „glorreichen“ Norton Internet Security habe ich diese ausgeführt, wobei Norton dann doch eine Bedrohung aufgefallen ist, die entfernt wurde (leider erinnere ich mich nicht mehr an den Namen). Anschließend fiel das Programm in seinen Schneewittchenschlaf zurück. Alamiert dadurch habe ich mir dann VundoFix.exe heruntergeladen, welches dann die VTSQO.exe und die FIYOQSRV.exe sowie die entsprechenden dlls gefunden und laut Protokoll gelöscht hat. Leider hat sich die VTSQO.dll laut Zeitstempel eine Minute später bereits reinstalliert und zwar so im Windowssystem, dass Vundofix.exe sie nicht mehr las Malware identifizieren konnte. Dazu später mehr.
Schließlich habe ich einen Online-Scan mit Kasperski durchgeführt. Dieser zeigte mit folgende Bedrohungen:
Trojan.Win32.Dialer.yz (patch.exe, gos100.tmp)
Adware.Win32.PurityScan.gn
Adware.Win32.ZenoSearch.ad
Trojan.Win32.StartPage.atc (SuperFinderUSA.dll)
Trojan.Win32.inject.mt (crack.exe)
Adware.Win32.virtumonde.cli (Rcx28.tmp, rx23.tmp, rc12.tmp, usw.)
Außerdem wurden folgende Dateien als Dialer infiziert angesehen:
Drvfag.dll
Winwim.dll
Als mit Virtumonde infected wurden folgende Dateien identifiziert:
DevDetect.exe
Clistart.exe
Lightscribecontrolpanel.exe
Googletoolbarnotifier.exe
Jusched.exe
Msmsgs.exe
Prevxcsi.exe
Msconfig.exe.tmp
Ctfmon.exe.tmp

Gut, Norton wurde also zu diesem Zeitpunkt verdammt und wird nie wieder in die Nähe einer meiner Computer kommen, Kasperski installiert und alle Probleme erst mal behoben. Netterweise waren die betroffenen exe-Dateien noch in ihrem Originalzustand nur mit einem Leerzeichen vor den exe vorhanden und konnten somit durch Löschen dieses Leerzeichens wiederhergestellt werden (warum sollte man als Hacker so nett sein???).
Weiterhin entfernt wurden die ljjihee.dll, hshslgbo.dll, tmp39.tmp und die ctfmon.exe.
Kasperski hat dann noch alle Bedrohungen, die sich im System Volume Information befanden (insgesamt 269 infizierte Dateien) gelöscht. Da alle RestorePoints auch das Datum 7 Minuten nach der Infizierung trugen, habe ich diesen Bereich komplett gelöscht. Zusätzlich ließen sich die Windows-Updates nicht mehr installieren. Dazu musste einige Dateien neu registriert werden (wuapi.dll, wuaueng.dll, wuaueng1.dll, wucltui.dll, ...)
Die einzige Datei, die alles überlebt hatte und weder von Kasperski noch von VundoFix.exe, ActiveScan oder prevxcsi als Bedrohung eingestuft wurde, war die VTSQO.dll. Diese wurde zwar von Security Task Manager als gefährlich eingestuft, konnte aber nicht von diesem entfernt werden Auch killbox.exe und Konsorten waren nicht in der Lage, diese zu löschen. Erst RegRun hat das Ding gekillt (Bravo!). Die replizierte Version in der System Volume Information wurde von Kasperski wieder erkannt und gelöscht.
So, jetzt ist wieder Friede, Freude, Eierkuchen angesagt, oder? Gibt es noch ein nettes Tool, das mich auch weitere Schweinerein aufmerksam machen könnte?
Wieso sind z.B. 15 Ports offen, wenn ich meinen Computer hochfahre? Ist das normal?
Ich würde mich sehr über Kommentare freuen.
TC
Kosmo

Hallo.

Führe zunächst folgende Anleitungen durch:


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Gruß
Sunny

Hi Sunny,
hier die entsprechenden Ergebnisse. Ich habe ComboFix.exe nicht laufen lassen, da im eScan folgende Zeile aufgetaucht ist:
ComboFix.exe infiziert mit "NULL.corrupted" Virus
Was macht dieses Programm eigentlich?
Ertmal vG
Kosmo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22:28, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Dokumente und Einstellungen\Schiemanns\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198376993296
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5191/mcfscan.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 4607 bytes


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/7/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Daten\Kai\aaa2\RESOURCE.FRK\LHA213.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Kais stuff\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\SCHIEM~1\LOKALE~1\Temp\NERO13890\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temp\NERO13890\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\temp\nero13890\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Daten\Silke\Eudora5\SNOWCRAF.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X40KQYOQ\Nero-7.10.1.2_all_update[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XLCGEUFB\KillBox[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 138496
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 142
Dauer des Scans bisher: 00:27:15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:56:54,07
Batchende: 22:57:04,18

Hallo nochmal,
habe aufgrund der Fehlermeldungen selbst ein bisschen rungespielt. Das neue eScan Protokoll sieht ziemlich sauber aus (clean as a whistle!), oder?
Muss ich ComboFix noch laufen lassen? Soll ich die Systemwiedrherstellung löschen?
VG
Kosmo

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/7/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Daten\Silke\Eudora5\SNOWCRAF.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X40KQYOQ\Nero-7.10.1.2_all_update[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Schiemanns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XLCGEUFB\KillBox[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 138810
Gefundene Viren: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 142
Dauer des Scans bisher: 00:27:43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:44:33,54
Batchende: 0:45:01,15

Hallo,
bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar!
Kosmo

Zitat:

Zitat von KosmoKramer

Hallo,
bitte den Link zu ComboFix.exe überarbeiten. Der führt nur zu einer Datei mit 0byte! Unbrauchbar!
Kosmo

Versuch es hiermit:


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Hallo Sunny,
sorry war unterwegs und konnte mich erst jetzt wieder um den Computer kümmern.
Also, beim Download von ComboFix.exe hat Kaspersky gemault, dass es sich dabei um einen Virus Heur.Invader (Modifikation) handeln würde. Wie auch immer, ich habe es zugelassen und bei abgeschlatetem Schutz den Rechner gecheckt. Das log-file habe ich angefügt.
So, jetzt habe ich nur noch eine Problem. Leider wurde auch bei der Infektion Files in dem Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18 erstellt. Ich habe diese gelöscht, woraufhin beim Hochfahren eines dieser mit identischer Größe und Namen widerhergestellt wurde, heißt: 6dea747ed38eabf371282d88992c2768_eee0f59d-84a4-4c9c-92da-2b4f3551c1b9!
Ist das noch eine Gefahr? Wie kann man die Tasks, die diese Datei enthalten soll, auslesen?
VG
Kosmo

ComboFix 08-01-20.1 - xxx 2008-01-20 12:53:44.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1658 [GMT 1:00]
ausgeführt von:: C:\Kais stuff\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-20 bis 2008-01-20 ))))))))))))))))))))))))))))))
.

2008-01-20 12:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-16 22:34 . 2008-01-16 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-14 21:50 . 2008-01-14 21:50 <DIR> d-------- C:\VundoFix Backups
2008-01-12 22:38 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-12 22:37 . 2008-01-12 22:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-11 18:21 . 2008-01-11 18:21 <DIR> d-------- C:\Programme\Astragon
2008-01-11 18:13 . 2008-01-11 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Astragon
2008-01-07 23:36 . 2008-01-18 17:20 <DIR> d-------- C:\Programme\XoftSpySE
2008-01-07 22:54 . 2008-01-12 20:46 0 --a------ C:\23990098.$$$
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-07 22:27 . 2008-01-07 22:27 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-07 22:25 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-01-07 22:25 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-01-07 22:25 . 2008-01-12 20:15 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-05 11:42 . 2008-01-05 11:42 <DIR> d-------- C:\Programme\DVDFab HD Decrypter 4
2008-01-05 10:32 . 2008-01-05 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DVD Shrink
2008-01-04 16:16 . 2008-01-04 16:16 <DIR> d-------- C:\Programme\RipIt4Me
2008-01-03 01:15 . C:\WINDOWS\(2) C:\ComboFix\winstart.bat
2008-01-03 01:14 . 2008-01-03 01:14 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Regrun
2008-01-03 01:14 . 2003-09-06 15:55 57,556 --a------ C:\WINDOWS\guard.bmp
2008-01-03 01:13 . 2008-01-03 01:13 <DIR> d-------- C:\Programme\Greatis
2008-01-03 01:03 . 2008-01-03 01:03 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-01-01 19:25 . 2008-01-18 02:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-01-01 13:13 . 2008-01-01 13:14 <DIR> d-------- C:\Programme\QuickTime
2008-01-01 13:13 . 2008-01-01 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-01 12:29 . 2008-01-01 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Panasonic
2008-01-01 12:12 . 2008-01-01 12:14 <DIR> d-------- C:\Programme\Panasonic
2008-01-01 12:12 . 2008-01-01 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\InstallShield
2008-01-01 12:12 . 2005-03-07 19:44 45,056 --a------ C:\WINDOWS\system32\PhDi2.sys
2007-12-31 15:33 . 2007-12-31 15:33 582 --a------ C:\WINDOWS\eReg.dat
2007-12-31 15:21 . 2007-12-31 15:22 <DIR> d-------- C:\Programme\Maxis
2007-12-27 00:51 . 2007-12-27 00:51 <DIR> d-------- C:\WINDOWS\Sun
2007-12-27 00:02 . 2007-12-27 00:19 <DIR> d-------- C:\Programme\AmoK
2007-12-26 23:32 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-26 23:17 . 2007-12-27 00:04 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-12-26 23:17 . 2007-12-26 23:17 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-12-26 23:17 . 2007-12-26 23:17 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-12-26 23:17 . 2007-12-26 23:17 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-26 10:00 . 2007-12-26 10:03 <DIR> d-------- C:\Programme\Security Task Manager
2007-12-26 10:00 . 2008-01-18 02:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-12-25 18:10 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-25 18:10 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-25 18:10 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-25 18:10 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-25 18:10 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-25 18:10 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-25 18:10 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-12-25 18:10 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-25 11:27 . 2007-12-25 11:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2007-12-25 11:27 . 2007-12-25 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2007-12-25 10:52 . 2007-12-25 10:52 <DIR> d-------- C:\WINDOWS\system\IOSUBSYS
2007-12-25 10:52 . 2007-12-25 10:52 <DIR> d-------- C:\Programme\PENTAX
2007-12-23 08:09 . 2007-12-23 08:13 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-12-23 08:09 . 2007-12-23 08:13 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-12-23 08:08 . 2008-01-20 13:00 13,640,736 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-23 08:08 . 2008-01-20 12:50 572,192 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-23 08:08 . 2008-01-20 12:50 183,716 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-23 08:08 . 2008-01-20 12:50 54,692 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-23 08:03 . 2007-12-23 08:03 <DIR> d-------- C:\WINDOWS\system32\%BaseFolder%
2007-12-23 03:30 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-23 03:30 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-12-23 03:09 . 2004-08-04 13:00 28,288 --a--c--- C:\WINDOWS\system32\dllcache\xjis.nls
2007-12-23 03:07 . 2004-08-04 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2007-12-23 03:06 . 2004-08-04 13:00 43,520 --a--c--- C:\WINDOWS\system32\dllcache\admwprox.dll
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2007-12-23 03:04 . 2007-12-23 03:04 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2007-12-23 03:03 . 2004-08-04 13:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2007-12-23 01:13 . 2007-12-23 01:13 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-12-23 00:17 . 2007-12-23 00:17 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-23 00:17 . 2008-01-20 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-22 21:10 . 2007-12-22 21:10 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-22 20:33 . 2008-01-19 12:50 41 --a------ C:\WINDOWS\WSST_Screen_Saver.ini
2007-12-22 17:08 . 2007-12-22 17:08 126 --a------ C:\WINDOWS\winomnifile.dat
2007-12-22 17:06 . 2007-12-23 02:00 <DIR> d-------- C:\Programme\PrevxCSI
2007-12-22 16:51 . 2007-12-22 16:51 <DIR> d-------- C:\Programme\Trend Micro
2007-12-22 15:38 . 2007-12-22 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sunbelt Software
2007-12-22 14:02 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-22 12:54 . 2007-12-22 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-22 12:13 . 2007-12-22 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-22 12:12 . 2008-01-12 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PrevxCSI
2007-12-22 11:17 . 2007-12-22 11:17 <DIR> d-------- C:\kav
2007-12-21 08:58 . 2004-02-17 12:25 1,252,762 --a------ C:\WINDOWS\system32\Camel Screen Saver.dat
2007-12-21 08:58 . 2004-02-17 12:25 466,944 --a------ C:\WINDOWS\system32\Camel Screen Saver.scr
2007-12-20 12:23 . 2007-12-20 12:23 <DIR> d-------- C:\Programme\ClonyXXL
2007-12-20 12:23 . 2007-12-20 12:27 204 --a------ C:\WINDOWS\Clony2.ini
2007-12-20 11:39 . 2007-12-20 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ATI
2007-12-20 11:37 . 2007-05-25 11:42 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Vorlagen
2007-12-20 11:37 . 2007-01-01 00:35 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmen�
2007-12-20 11:37 . 2007-01-01 00:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2007-12-20 11:37 . 2007-01-01 00:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2007-12-20 11:37 . 2007-12-20 11:37 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2007-12-20 11:37 . 2007-12-20 11:38 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 11:50 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FRITZ!
2008-01-16 21:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-01-12 21:38 --------- d-----w C:\Programme\Java
2008-01-12 21:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-12 19:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-04 15:58 --------- d-----w C:\Programme\UltraStar Deluxe test
2008-01-04 15:20 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\RipIt4Me
2008-01-04 15:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-04 15:02 213,054 ----a-w C:\WINDOWS\GSetup.exe
2008-01-04 14:16 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Ahead
2008-01-03 17:30 --------- d-----w C:\Programme\FRITZ!DSL
2008-01-02 22:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-01-01 11:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-26 22:50 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2007-12-26 13:50 --------- d-----w C:\Programme\Google
2007-12-25 10:27 --------- d-----w C:\Programme\ACD Systems
2007-12-23 00:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-12-22 22:08 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-12-22 22:08 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-12-22 18:47 160,768 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
2007-12-20 10:20 --------- d-----w C:\Programme\EA GAMES
2007-12-18 12:27 --------- d-----w C:\Programme\MSXML 4.0
2007-12-17 08:09 --------- d-----w C:\Programme\Jasc Software Inc
2007-12-17 08:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Jasc Software Inc
2007-12-17 08:05 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-12-17 08:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-12-17 08:04 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Jasc Software Inc
2007-12-17 07:30 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Teleca
2007-12-17 07:28 --------- d-----w C:\Programme\Sony Ericsson
2007-12-17 07:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-12-17 07:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2007-12-17 07:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2007-12-09 19:26 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ACD Systems
2007-12-04 20:00 --------- d-----w C:\Programme\Logitech
2007-12-04 20:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-12-03 22:43 --------- d-----w C:\Programme\Microsoft Works
2007-12-03 22:32 --------- d-----w C:\Programme\Microsoft Works Suite 2002
2007-12-03 22:30 --------- d-----w C:\Programme\Microsoft AutoRoute
2007-12-03 22:19 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-03 22:14 --------- d-----w C:\Programme\SPSS07
2007-12-03 20:54 --------- d-----w C:\Programme\PCI Audio Applications
2007-12-03 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground
2007-12-03 18:26 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-12-02 00:13 --------- d-----w C:\Programme\Picasa2
2007-12-02 00:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2007-12-02 00:02 --------- d-----w C:\Programme\Nero
2007-12-01 23:35 --------- d-----w C:\Programme\DVD Shrink DE
2007-12-01 23:34 --------- d-----w C:\Programme\DVD Decrypter
2007-12-01 22:05 --------- d-----w C:\Programme\DVBViewerTE
2007-12-01 18:46 --------- d-----w C:\Programme\Lavasoft
2007-12-01 18:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-01 15:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-01 15:39 --------- d-----w C:\Programme\TechniSat DVB
2007-12-01 15:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-12-01 15:32 --------- d-----w C:\Programme\FRITZ!Box
2007-12-01 12:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2007-12-01 12:49 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ArcSoft
2007-12-01 12:47 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\EPSON
2007-12-01 12:43 --------- d-----w C:\Programme\ArcSoft
2007-12-01 12:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Python
2007-12-01 12:42 --------- d-----w C:\Programme\EPSON
2007-12-01 12:35 --------- d-----w C:\Programme\DaViDeo3
2007-12-01 12:32 9,344 ----a-w C:\WINDOWS\system32\drivers\GEARASPIWDM.SYS
2007-12-01 12:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2007-12-01 12:27 --------- d-----w C:\Programme\Ubisoft
2007-12-01 10:09 --------- d-----w C:\Programme\microsoft frontpage
2007-12-01 10:09 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft Web Folders
2007-12-01 09:56 --------- d-----w C:\Programme\Outlook Express Datensicherung
2001-11-22 22:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

Code: Alles auswählenAufklappen

ATTFilter

<pre>
----a-w            92,160 2007-12-22 22:34:57  C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PrevxCSI\PrevxCSI .exe
----a-w           208,896 2007-12-22 21:01:18  C:\Programme\ACD Systems\DevDetect\DEVDET~1 .EXE
----a-w           847,872 2007-12-22 20:14:42  C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3 .exe
----a-w           218,376 2007-12-23 07:01:13  C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
----a-w           160,768 2007-12-22 18:47:47  C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
</pre>
         

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]
"Camera Detector"="C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.exe" [2003-06-28 22:55 208896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]

C:\Dokumente und Einstellungen\xxx\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-22 19:13:45 913408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Server4PC.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Server4PC.lnk
backup=C:\WINDOWS\pss\Server4PC.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^AP Launch.lnk]
path=C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\ap launch.lnk
backup=C:\WINDOWS\pss\ap launch.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk]
path=C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk
backup=C:\WINDOWS\pss\Sonic CinePlayer Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-03 11:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 15:17 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-12-05 12:30 2295072 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrevxCSI]
C:\Programme\PrevxCSI\prevxcsi .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vuhgpwbq]
C:\Programme\vuhgpwbq\hshslgbo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wlgvgxqn]
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wlgvgxqn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"helpsvc"=2 (0x2)
"gusvc"=3 (0x3)
"GEARSecurity"=2 (0x2)
"Symantec Core LC"=3 (0x3)
"NMIndexingService"=3 (0x3)
"LightScribeService"=2 (0x2)
"aawservice"=2 (0x2)

R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2002-07-19 08:10]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 11:35]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 00:00]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2006-03-14 02:22]
S0 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 11:35]
S3 zlportio;zlportio;C:\Spiele\Ultrastar Deluxe englisch II\zlportio.sys []


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 13:00:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-20 13:03:13
ComboFix-quarantined-files.txt 2008-01-20 12:03:09
.
2008-01-10 20:50:54 --- E O F ---

Hallo,
noch ein kleiner Nachtrag: habe jetzt zum 2. Mal eine Datei Namens pinfect.zip in meinem System gefunden, die von Kaspersky als password-geschützt angesehen wird. Sie entält Vfind.exe, WSST_Screen_Saver.ini, usw.. Ich habe sie jetzt schon zum 2. Mal gelöscht, sie kommt aber immer wieder. Wie kann das sein? Was ist das schon wieder?
VG
Kai

Hallo,
ich werde meinen Monolog noch ein bisschen weiterführen.
Mittlerweile weiß ich, dass die pinfect.zip von Escan angelegt wurden, neben einen Haufen weiterer Folder, die nichts enthalten (sehr nervig!):
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Was sind das eigentlich für exe-Dateien, die ein Leerzeichen beinhalten, z.B. avp .exe. Diese sind genauso groß wie die richtigen Exe-Dateien (z.B avp.exe)? Welches Programm hat denn diese generiert?

Folgende Sachen stören mich auch noch :
C:\WINDOWS\WSST_Screen_Saver.ini (dies ist ein Link!) und
C:\WINDOWS\winomnifile.dat

Außerdem finde ich die im Log angegebene Datei zlportio.sys auf meinem Rechner nicht. Der beschriebene Ultrastarfolder enthält diese nicht?
VG
Kosmo

Die Datei wird von eScan erstellt und beinhaltet unsignierte Dateien, die in den letzten 2 Wochen erstellt wurden.
Das kannst du auch am anfang der Datei mwav.log die sich im zb im ordner C:\bases_x befinden sollte nachlesen.

Wegen Vundo meld ich mich noch mal. (Dateien mit Leerzeichen)

lg myrtille

EDIT: Ja, du schreibst das ja...

Hi,
die Jungs haben sich nicht nur einen Spass daraus gemacht den Namen deiner Dateien zu ändern, nein sie haben auch gleich noch ihren eigenen Code in die jeweiligen Dateien injiziert, sodass du bei jedem hochfahren deinen Rechner selbst wieder infizierst.

Die folgenden Hinweise wendest du auf eigenen Gefahr hin an:

• Kopiere Folgendes in einen Editor:
  
  Code: Alles auswählenAufklappen

  ATTFilter

   
  EDIT: Auf Wunsch von myrtille entfernt. grüße, schneipi
           

• speichere dies nun als "CFScript" ab
  (Stelle dabei sicher, dass du als "Dateityp" "alle Dateitypen" anwählst und die Datei keine Endung hat)
• Ziehe dann die Datei cfscipt auf combofix.exe, wie du es auf der folgenden Animation sehen kannst:
  
• Es sollte sich nun ein Fenster öffnen, lass den Scan bis zum Schluß durchlaufen, auch wenn deine Desktopicons verschwinden.
• Die Logdatei öffnet sich am Schluß des Scans, ihren Inhalt dann bitte hier posten.

lg myrtille

Hallo zurück,
Danke für Deine schnelle Antwort!
Also, die exe-Dateien mit dem Leerzeichen haben exakt die gleiche Größe wie die Originaldateien und erscheinen mir eher Back-up-Dateien zur Wiederherstellung infizierter Originaldateien zu sein (bin ich zu naiv?).
Wie auch immer, ich habe sie in meinem Übereifer bereits gelöscht (die avp .exe konnte ich nur im abgesicherten Zustand löschen). Die Originaldateien sind von Datum her alle älter als der Infektionszeitpunkt (sind auch alle neu installiert worden).
Der kryptische Folder und die dlls, die es sonst auf der Welt nicht beschrieben gibt, waren nur noch als Registrierungseinträge drin, die ich auch bereits gelöscht habe.
Soll ich jetzt combofix.exe laufen lassen, ohne das Scriptfile zuzufügen?
VG
Kosmo

Zitat:

Zitat von KosmoKramer

Also, die exe-Dateien mit dem Leerzeichen haben exakt die gleiche Größe wie die Originaldateien und erscheinen mir eher Back-up-Dateien zur Wiederherstellung infizierter Originaldateien zu sein (bin ich zu naiv?).
Wie auch immer, ich habe sie in meinem Übereifer bereits gelöscht (die avp .exe konnte ich nur im abgesicherten Zustand löschen). Die Originaldateien sind von Datum her alle älter als der Infektionszeitpunkt (sind auch alle neu installiert worden).

Ich vermute eher, dass die infizierten Dateien bereits von Kaspersky/Norton/irgendeinem Programm gelöscht wurden und es deswegen dir möglich war die nachher erstellten Kopien "einfach" zu löschen.
Mir ist ehrlich gesagt kein Programm bekannt, dass eine derartige Backupstrategie verfolgt. Allerdings kenn ich Vundo, der die Dateien auf diese Weise infiziert.

Sicherheitshalber hätte ich gerne die MD5-Hashdaten der folgenden Dateien (und wenn noch vorhanden, die der Backups, die in einem Unterordner "bak" im selben Ordner liegen sollten.) Lade dafür die Dateien einzeln bei md5sum hoch und poste dann jeweils die Datei und ihren MD5-wert hier.

Zitat:

C:\Dokumente und Einstellungen\"durch deinen namen ersetzen"\Anwendungsdaten\PrevxCSI\PrevxCSI .exe
C:\Programme\ACD Systems\DevDetect\DEVDET~1 .EXE
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3 .exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe

Zitat:

Soll ich jetzt combofix.exe laufen lassen, ohne das Scriptfile zuzufügen?

Nein bitte erstmal die MD5-Angaben posten.

lg myrtille

Hallo,
also, leider hatte ich das avp .exe bereits endgültig gelöscht. Spyhunter habe ich schon vor 2 Wochen deinstalliert (kein Vergleich mehr möglich). Die drei anderen konnte ich noch aus dem Papierkorb retten, leider lässt sich die MSconfig.exe mit diesem Programm nicht auslesen, da sie im Gebrauch ist. Wir können also nur auf folgende Werte zurückgreifen:

PrevxCSI .exe ab8dcc6bb30757f33985a737dd897971
PrevxCSI.exe ab8dcc6bb30757f33985a737dd897971

Msconfig .exe ae9cf305dce7646d0cbaf8ab8d114e33
Msconfig.exe nicht zu bestimmen, da in Gebrauch

DevDetect.exe dd0d5788052c7b57351136fed2dde44f
DEVDET~1 .EXE dd0d5788052c7b57351136fed2dde44f

Diese beiden scheinen identisch zu sein, oder?
Backup-Dateien und/oder entsprechende Folder konnte ich nicht finden.

Kurz nach der Infektion wurden tatsächlich einige exe-Dateien laut Kaspersky infiziert. Für jede dieser wurde eine neue exe-Datei mit SPACE zwischen dem Punkt und exe generiert (nicht zwischen dem Dateinamen und dem Punkt). Nachdem Kaspersky diese infizierten Original-Dateien gelöscht hatte, konnte ich durch Löschen dieser SPACEs in den vorliegenden Dateien die Programmfunktionen wieder herstellen, ohne dass Kaspersky dann noch gemeckert hat.
Wie auch immer, all diese Programme habe ich dann aber deinstalliert und neu installiert.

Könntest Du zu meinem folgenden Problem dann bitte noch Stellung nehmen:
Leider wurde auch bei der Infektion Files in dem Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\S-1-5-18 erstellt. Ich habe diese gelöscht, woraufhin beim Hochfahren eines dieser mit identischer Größe und Namen widerhergestellt wurde, heißt: 6dea747ed38eabf371282d88992c2768_eee0f59d-84a4-4c9c-92da-2b4f3551c1b9! Könnte diese schedulded tasks noch irgendeinen Mist machen? Wie kann man sich ansehen, was darin verborgen liegt?
Vielen Dank schon mal
Kosmo

Google ist dein Freund.

Nein im Ernst, falls du des englischen mächtig bist, dürfte der folgende Link interessant sein:
microsoft&verschlüsselung

Wenn nicht, muss ich dich auf morgen vertrösten. Hab heute nicht die Zeit mich einzulesen.
Es könnte sein, dass sich die Malware damit gelöscht hat, es könnte sein, dass es ein FalsePositive war.
Wird die Datei denn immernoch angemeckert?

Die Dateien scheinen in Ordnung, würde also vermuten, dass du sauber bist.

lg myrtille

EDIT:
Die überflüssigen Regkeys sollten allerdings noch gelöscht werden.
Also folgendes:

Zitat:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vuhgpwbq]
C:\Programme\vuhgpwbq\hshslgbo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wlgvgxqn]
regsvr32 /u C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wlgvgxqn.dll

Gehe dafür auf Start->Ausführen->regedit eingeben.
Es solllte ein Fesnter erscheinen
Klick auf Datei und auf "exportieren" und speichere das ganze unter "backup.reg". Damit hast du ein Backup deiner Registry erstellt. Sollte etwas schief gehen, kannnst du sie von dort später wieder importieren und so alle Änderungen rückgängig machen.
Dann einfach nach "vuhgpwbq" und "wlgvgxqn" suchen (Die Suche kann per Strg+f aufgerufen werden) und die entsprechenden Einträge per Rechtsklick löschen.