Hallo Leute!
Habe mir irgendwie mehrere Trojaner eingefangen.
Mein Antivir findet 5 Funde.
Hier der Log:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 18. Januar 2008 07:41

Es wird nach 1054433 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: TIMO-132EA28B89

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 02:03:18
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 01:05:57
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15.01.2008 05:08:09
ANTIVIR3.VDF : 7.0.2.15 191488 Bytes 17.01.2008 06:17:48
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 16.01.2008 05:08:09
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 16.01.2008 05:08:09
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 18. Januar 2008 07:41

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41363' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bittorrent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dna.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Programme\RSD0.521.rar
[0] Archivtyp: RAR
--> RSD0.521\AntiCaptcha.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/AntiCaptcha.1
--> RSD0.521\ccf2rsdf.exe
[FUND] Ist das Trojanische Pferd TR/Agent.175104.A
--> RSD0.521\Plugins\YCPlugins\hoerblog.dll
[FUND] Ist das Trojanische Pferd TR/Delf.26624
[INFO] Eine Sicherungskopie wurde unter dem Namen 47d44b43.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Rapidshare\RSD0.521\RSD0.521\ccf2rsdf.exe
[FUND] Ist das Trojanische Pferd TR/Agent.175104.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 47f64b55.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Rapidshare\RSD0.521\RSD0.521\Plugins\YCPlugins\hoerblog.dll
[FUND] Ist das Trojanische Pferd TR/Delf.26624
[INFO] Eine Sicherungskopie wurde unter dem Namen 47f54b62.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 18. Januar 2008 08:03
Benötigte Zeit: 21:48 min

Der Suchlauf wurde vollständig durchgeführt.

3836 Verzeichnisse wurden überprüft
108792 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
108787 Dateien ohne Befall
453 Archive wurden durchsucht
3 Warnungen
5 Hinweise
41363 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Hier der HJT Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:05:01, on 18.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Programme\This\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF56694D-8290-4EE0-BCE1-6DA0C16923A4}: NameServer = 4.2.2.2
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

--
End of file - 5429 bytes


Bit Torrent wird in 2 Tagen wieder runtergeschmissen.
Habe es nur drauf weil ich 3 Dateien nirgends anders herbekomme.
Vielen Dank im Vorraus für eure Hilfe und Mühen.
mfg
Timo

Hi,

bitte combofix ausführen und Avira wie folgt einstellen:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Stelle Avira wie folgt ein: http://www.trojaner-board.de/showthread.php?t=54192
Führe einen Systemscan durch und poste das Ergebnis!

chris

@Chris4you
Ich habe da mal eine Frage.
Also immer wenn ich combofix ausführe,schlägt die ganze Zeit mein Antivir an.
Das hat es auch schon vor einem Monat getan.
Es findet andauernd :In der Datei 'C:\WINDOWS\NirCmd.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.3' [APPL/NirCmd.3] gefunden.
Nagut und dann erstellt es immer ein 2tes Internet Explorer Icon.
Nach dem Durchlauf kann man dann nicht mehr ins Internet und muss den Computer neustarten.
Ist das normal so?


Also hier der Combofix Log:
ComboFix 08-01-18.4 - Timo 2008-01-18 8:33:51.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.967 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Timo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 ))))))))))))))))))))))))))))))
.

2008-01-18 08:32 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-17 11:46 . 2008-01-17 11:46 <DIR> d-------- C:\Programme\BitTorrent_DNA
2008-01-17 11:46 . 2008-01-17 11:46 <DIR> d-------- C:\Programme\BitTorrent
2008-01-17 11:46 . 2008-01-18 08:35 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\BitTorrent DNA
2008-01-17 11:46 . 2008-01-18 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\BitTorrent
2008-01-16 23:37 . 2008-01-16 23:37 54,608 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-01-13 08:57 . 2008-01-13 08:57 <DIR> d-------- C:\Programme\Maxis
2008-01-13 04:45 . 2008-01-13 05:06 <DIR> d-------- C:\Programme\EA GAMES
2008-01-12 21:52 . 2008-01-12 22:31 <DIR> d-------- C:\Programme\id Software
2008-01-08 09:01 . 2008-01-08 09:20 <DIR> d-------- C:\Programme\IrfanView
2008-01-04 01:21 . 2008-01-18 08:11 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-04 01:10 . 2008-01-04 01:10 <DIR> d-------- C:\Programme\Nero
2008-01-04 01:10 . 2008-01-04 01:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-29 08:28 . 2007-12-29 08:28 <DIR> d-------- C:\Programme\Ashampoo
2007-12-19 03:37 . 2007-10-15 04:22 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 15:17 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\teamspeak2
2008-01-17 15:09 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Xfire
2008-01-17 15:08 --------- d-----w C:\Programme\Xfire
2008-01-16 16:44 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-16 13:12 22,328 -c--a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-16 13:12 107,832 -c--a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-14 07:03 --------- d-----w C:\Programme\Spyware Doctor
2008-01-13 08:01 9,216 -csha-w C:\Programme\Thumbs.db
2008-01-13 04:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-11 00:10 --------- d-----w C:\Programme\WarRock
2008-01-05 08:32 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Ahead
2008-01-04 00:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-01-03 23:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-12-29 06:32 --------- d-----w C:\Programme\DivX
2007-12-20 03:26 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-12-20 03:26 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-12-20 03:26 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-12-15 16:51 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Hamachi
2007-12-14 23:19 --------- d-----w C:\Programme\Elaborate Bytes
2007-12-14 02:08 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-11 12:24 --------- d-----w C:\Programme\Google
2007-12-09 13:25 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 12:56 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2007-12-08 12:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-07 06:19 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\InstallShield
2007-12-07 00:44 20,747 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2007-12-07 00:44 --------- d-----w C:\Programme\Hama
2007-12-06 10:13 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Azureus
2007-12-06 10:12 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Ashampoo
2007-12-06 09:10 --------- d-----w C:\Programme\Online-Dienste
2007-12-06 04:34 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\PrevxCSI
2007-12-06 03:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-05 12:55 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\gtopala
2007-12-05 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2007-12-01 02:59 --------- d-----w C:\Programme\directx
2007-11-30 04:00 87,552 ----a-w C:\WINDOWS\system32\fldrclnr.dll
2007-11-30 03:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-19 05:31 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\SecondLife
2007-11-12 01:38 138,220 -c--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-11-07 09:49 734,720 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 -c--a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 -c--a-w C:\WINDOWS\system32\wmasf.dll
2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-04-28 13:51 25,214 -c--a-w C:\Programme\B.ico
2007-04-28 13:51 25,214 -c--a-w C:\Programme\A.ico
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46 1460560]
"BitTorrent DNA"="C:\Programme\BitTorrent_DNA\dna.exe" [2008-01-17 11:46 286016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe" [2006-11-14 07:25 363008]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 10:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-12 03:03 249896]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-08-24 11:01 135168]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-08-24 11:01 159744]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-08-24 11:00 131072]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 14:21 94208]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-12-07 01:45:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

R2 AWISp50;AWISp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\AWISp50.sys [2006-03-15 09:35]
S3 39f12;39f12;C:\WINDOWS\system32\39f12.sys [2007-07-30 12:34]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\46.tmp []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService REG_MULTI_SZ LmHosts upnphost SSDPSRV

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be90cbc7-adc6-11dc-99bc-000e2ec1db38}]
\Shell\AutoRun\command - D:\autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-01-18 08:36:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-18 8:37:26
.
2008-01-09 12:22:59 --- E O F ---


Ich habe mein Antivir nach der Anleitung schon vor Monaten so eingestellt.
Danke für die Hilfe.
mfg
Timo

Hi,

ja, das Anschlagen in "NirCmd.exe'" ist ok;

Bitte online prüfen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:

C:\WINDOWS\system32\xfcodec.dll
C:\Programme\B.ico
C:\Programme\A.ico
C:\WINDOWS\system32\39f12.sys
C:\WINDOWS\system32\46.tmp
D:\autorun.exe

Poste das Ergebnis mit Filename...

chris

Hallo,

dieser Eintrag

Zitat:

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\46.tmp []

dürfte ok sein (46.tmp muss also nicht gescannt werden). Sophos Anti-Rootkit z.B. hat auf meinem Rechner dieses Dienst angelegt, mit dem Namen "Memsweep2" und einer temporären Datei im Systemordner, deren Name aus 2-3 zufällig erzeugten Zeichen besteht.