Bagle bekämpft. Ist wirklich alles clean?

FerrariF100GT · 17.02.2008, 18:55

Hallo,
ich hab mich nun endlich mal hier angemeldet.
Hatte gestern Abend ausversehen eine exe gestartet die mir den Bagle bescherte.
Ich hatte erstmal nen richtigen heftigen Schock und hab viel im Internet gelesen. Hab es nun geschafft nach ca 10 Stunden arbeit, die Prozesse sind weg, die hldrrr.exe srosa etc müssten weg sein. Registry Einträge ebenso.

Ich bin mir allerdings immer noch nicht so recht sicher ob wirklich alles weg ist.
Ich möchte wirklich nur ungern mein System neu aufsetzen. Deswegen muss ich es einfach so versuchen. Wenn es dann wirklich keinen Sinn mehr hat, dann sei es eben so.

Das was mich am meisten bedrückt ist die tatsache wenn ich die Windows Reparierkonsole aufrufe ( Xp cd rein starten r drücken...) und dann fixmbr ausführe erstmal eine lange Meldung kommt das irgendetwas mit der Datei nicht stimmt und ich möglicherweise meine partitionstabellen zerstöre.
Habe das mit ja bestätigt. Wenn ich nochmals fixmbr eingebe kommt die Meldung wieder. Irgendwie hab ich dann das Gefühl das er das nicht richtig übernimmt.

EDIT:
Außerdem glaube ich nicht das ich alle Registry einträge raus habe. Dazu müsst ich wissen nach was ich suchen soll. Ich hab schon einiges raus aber sicher nicht alles. Ein Regisrty Backup von früher gibt es leider nicht.

Ich hoffe ihr begleitet mich auf dem weg um mein System Bagelfrei zu bekommen.

Ich werde alles tun was ihr mir befehlt

Freue mich auf eure Antworten

Greetz

EDIT2:
Hab avg auf allen Partitionen laufen lassen. Alles entfernt. Waren noch ein paar Exe Dateien. Nichts wildes weil die eh schon renamed waren. HJT hab ich auch das Log online prüfen lassen. Ich schätze ich sollte es euch hier auch nochmal posten.

Franz1968 · 17.02.2008, 19:08

Zitat:

Dazu müsst ich wissen nach was ich suchen soll.

Und das ist das Problem, denn die Zahl der Bagle-Versionen ist zweistellig. So ein komplexes Ding wie Bagle, das teils mit Backdoor- und meist mit Rootkit-Komponenten daherkommt, "händisch" zu bereinigen, ist niemals sicher.

Zitat:

Ich möchte wirklich nur ungern mein System neu aufsetzen. Deswegen muss ich es einfach so versuchen. Wenn es dann wirklich keinen Sinn mehr hat, dann sei es eben so.

Es ist meiner Meinung nach so.

Zitat:

HJT hab ich auch das Log online prüfen lassen. Ich schätze ich sollte es euch hier auch nochmal posten.

Das kannst du gern machen (und dann auch einen Blacklight-Report sowie Berichte deines AV-Programms), aber an der Empfehlung ändert das nichts.

FerrariF100GT · 17.02.2008, 19:29

Ok klar du hast schon recht aber solange nichts mehr verdächtiges zu finden ist, wird er auch nichts mehr groß machen oder?
Naja probieren wirs einfach mal:

Hijackthis

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 19:19:54, on 17.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\LcdStudio\LcdStudio.exe
C:\Programme\ImageShack\QuickShot\QuickShot.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Bullrin\Lokale Einstellungen\Temp\wzcd31\fsgnjfss.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [LcdStudio] C:\Programme\LcdStudio\LcdStudio.exe
O4 - HKLM\..\Run: [ImageShackUtil] C:\Programme\ImageShack\QuickShot\QuickShot.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Miranda IM] C:\Programme\Miranda IM\miranda32.exe
O4 - HKCU\..\Run: [speedfan] C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download with GetRight Pro - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91E84F42-83F2-453D-BFF3-D711BDC49D4A}: NameServer = 192.168.1.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\WI559D~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Programme\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

FerrariF100GT · 17.02.2008, 19:30

Das war von combofix

Code:

ATTFilter

ComboFix 08-02-17.2 - Bullrin 2008-02-17 14:25:32.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1607 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bullrin\Desktop\gfsg.com
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\srosa.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\100390.exe.ren
C:\WINDOWS\system32\drivers\down\100906.exe.ren
C:\WINDOWS\system32\drivers\down\101078.exe.ren
C:\WINDOWS\system32\drivers\down\101531.exe.ren
C:\WINDOWS\system32\drivers\down\102531.exe.ren
C:\WINDOWS\system32\drivers\down\103562.exe.ren
C:\WINDOWS\system32\drivers\down\105515.exe.ren
C:\WINDOWS\system32\drivers\down\106843.exe.ren
C:\WINDOWS\system32\drivers\down\108750.exe.ren
C:\WINDOWS\system32\drivers\down\111234.exe.ren
C:\WINDOWS\system32\drivers\down\117515.exe.ren
C:\WINDOWS\system32\drivers\down\123421.exe.ren
C:\WINDOWS\system32\drivers\down\128437.exe.ren
C:\WINDOWS\system32\drivers\down\129015.exe.ren
C:\WINDOWS\system32\drivers\down\132500.exe.ren
C:\WINDOWS\system32\drivers\down\134687.exe.ren
C:\WINDOWS\system32\drivers\down\135921.exe.ren
C:\WINDOWS\system32\drivers\down\136218.exe
C:\WINDOWS\system32\drivers\down\136468.exe
C:\WINDOWS\system32\drivers\down\137390.exe.ren
C:\WINDOWS\system32\drivers\down\141156.exe.ren
C:\WINDOWS\system32\drivers\down\151578.exe.ren
C:\WINDOWS\system32\drivers\down\152156.exe.ren
C:\WINDOWS\system32\drivers\down\153281.exe.ren
C:\WINDOWS\system32\drivers\down\155968.exe.ren
C:\WINDOWS\system32\drivers\down\156125.exe.ren
C:\WINDOWS\system32\drivers\down\156390.exe.ren
C:\WINDOWS\system32\drivers\down\156812.exe.ren
C:\WINDOWS\system32\drivers\down\158968.exe.ren
C:\WINDOWS\system32\drivers\down\159562.exe.ren
C:\WINDOWS\system32\drivers\down\162671.exe.ren
C:\WINDOWS\system32\drivers\down\162687.exe.ren
C:\WINDOWS\system32\drivers\down\166546.exe.ren
C:\WINDOWS\system32\drivers\down\167203.exe.ren
C:\WINDOWS\system32\drivers\down\167656.exe.ren
C:\WINDOWS\system32\drivers\down\168421.exe.ren
C:\WINDOWS\system32\drivers\down\169437.exe.ren
C:\WINDOWS\system32\drivers\down\169843.exe.ren
C:\WINDOWS\system32\drivers\down\170296.exe.ren
C:\WINDOWS\system32\drivers\down\171562.exe.ren
C:\WINDOWS\system32\drivers\down\174281.exe.ren
C:\WINDOWS\system32\drivers\down\174484.exe.ren
C:\WINDOWS\system32\drivers\down\175437.exe.ren
C:\WINDOWS\system32\drivers\down\175718.exe.ren
C:\WINDOWS\system32\drivers\down\176218.exe.ren
C:\WINDOWS\system32\drivers\down\176343.exe.ren
C:\WINDOWS\system32\drivers\down\178484.exe.ren
C:\WINDOWS\system32\drivers\down\178718.exe.ren
C:\WINDOWS\system32\drivers\down\181687.exe.ren
C:\WINDOWS\system32\drivers\down\184203.exe.ren
C:\WINDOWS\system32\drivers\down\184515.exe.ren
C:\WINDOWS\system32\drivers\down\184921.exe.ren
C:\WINDOWS\system32\drivers\down\185843.exe.ren
C:\WINDOWS\system32\drivers\down\185984.exe.ren
C:\WINDOWS\system32\drivers\down\186875.exe.ren
C:\WINDOWS\system32\drivers\down\187156.exe.ren
C:\WINDOWS\system32\drivers\down\187796.exe.ren
C:\WINDOWS\system32\drivers\down\188515.exe.ren
C:\WINDOWS\system32\drivers\down\190625.exe.ren
C:\WINDOWS\system32\drivers\down\191234.exe.ren
C:\WINDOWS\system32\drivers\down\196296.exe.ren
C:\WINDOWS\system32\drivers\down\198453.exe.ren
C:\WINDOWS\system32\drivers\down\200078.exe.ren
C:\WINDOWS\system32\drivers\down\203171.exe.ren
C:\WINDOWS\system32\drivers\down\205781.exe.ren
C:\WINDOWS\system32\drivers\down\206031.exe.ren
C:\WINDOWS\system32\drivers\down\208234.exe.ren
C:\WINDOWS\system32\drivers\down\214921.exe.ren
C:\WINDOWS\system32\drivers\down\215390.exe.ren
C:\WINDOWS\system32\drivers\down\219000.exe.ren
C:\WINDOWS\system32\drivers\down\233015.exe.ren
C:\WINDOWS\system32\drivers\down\244734.exe.ren
C:\WINDOWS\system32\drivers\down\268203.exe.ren
C:\WINDOWS\system32\drivers\down\35479671.exe.ren
C:\WINDOWS\system32\drivers\down\35485640.exe.ren
C:\WINDOWS\system32\drivers\down\35515484.exe.ren
C:\WINDOWS\system32\drivers\down\35521984.exe.ren
C:\WINDOWS\system32\drivers\down\35524734.exe.ren
C:\WINDOWS\system32\drivers\down\35528531.exe.ren
C:\WINDOWS\system32\drivers\down\35543562.exe.ren
C:\WINDOWS\system32\drivers\down\35546500.exe.ren
C:\WINDOWS\system32\drivers\down\35556234.exe.ren
C:\WINDOWS\system32\drivers\down\35560593.exe.ren
C:\WINDOWS\system32\drivers\down\35570921.exe.ren
C:\WINDOWS\system32\drivers\down\35599921.exe.ren
C:\WINDOWS\system32\drivers\down\35626437.exe.ren
C:\WINDOWS\system32\drivers\down\64671.exe.ren
C:\WINDOWS\system32\drivers\down\68593.exe.ren
C:\WINDOWS\system32\drivers\down\71843.exe.ren
C:\WINDOWS\system32\drivers\down\79609.exe.ren
C:\WINDOWS\system32\drivers\down\82656.exe.ren
C:\WINDOWS\system32\drivers\down\84343.exe.ren
C:\WINDOWS\system32\drivers\down\86125.exe.ren
C:\WINDOWS\system32\drivers\down\87093.exe.ren
C:\WINDOWS\system32\drivers\down\88031.exe.ren
C:\WINDOWS\system32\drivers\down\88718.exe.ren
C:\WINDOWS\system32\drivers\down\89671.exe.ren
C:\WINDOWS\system32\drivers\down\90546.exe.ren
C:\WINDOWS\system32\drivers\down\91359.exe.ren
C:\WINDOWS\system32\drivers\down\92921.exe.ren
C:\WINDOWS\system32\drivers\down\93609.exe.ren
C:\WINDOWS\system32\drivers\down\94328.exe.ren
C:\WINDOWS\system32\drivers\down\94718.exe.ren
C:\WINDOWS\system32\drivers\down\95640.exe.ren
C:\WINDOWS\system32\drivers\down\95906.exe.ren
C:\WINDOWS\system32\drivers\down\96843.exe.ren
C:\WINDOWS\system32\drivers\down\97125.exe.ren
C:\WINDOWS\system32\drivers\down\98515.exe.ren
C:\WINDOWS\system32\drivers\down\99203.exe.ren
C:\WINDOWS\system32\drivers\srosa.sys

----- BITS: Possible infected sites -----

hxxp://au.download.windowsupdate
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


(((((((((((((((((((((((   Dateien erstellt von 2008-01-17 bis 2008-02-17  ))))))))))))))))))))))))))))))
.

2008-02-17 14:20 . 2008-02-17 14:20	<DIR>	d--------	C:\ComboFix
2008-02-17 13:33 . 2008-02-17 13:31	8,704	--a------	C:\WINDOWS\system32\drivers\dxotkfbfyuny.sys
2008-02-17 01:10 . 2008-02-17 01:08	8,704	--a------	C:\WINDOWS\system32\drivers\rcngdvhicwnd.sys
2008-02-17 00:48 . 2008-02-17 00:46	8,704	--a------	C:\WINDOWS\system32\drivers\nbfwfugpgsrh.sys
2008-02-17 00:32 . 2008-02-17 00:30	8,704	--a------	C:\WINDOWS\system32\drivers\lsmfklkdogya.sys
2008-02-17 00:27 . 2008-02-17 13:39	<DIR>	d--------	C:\Programme\RootKit Hook Analyzer
2008-02-17 00:27 . 2008-02-17 14:29	19,248	--a------	C:\WINDOWS\system32\drivers\rspsc32.sys
2008-02-17 00:23 . 2008-02-17 14:29	3,968	--a------	C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-02-17 00:13 . 2008-02-17 00:12	8,704	--a------	C:\WINDOWS\system32\drivers\iwkpcyfdubxn.sys
2008-02-16 21:12 . 2008-02-16 21:12	250	--a------	C:\WINDOWS\gmer.ini
2008-02-16 20:57 . 2008-02-16 20:57	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-02-16 20:41 . 2008-02-16 20:43	<DIR>	d--------	C:\Dokumente und Einstellungen\Bullrin\.housecall6.6
2008-02-16 20:32 . 2008-02-16 20:32	<DIR>	d--------	C:\Programme\Alwil Software
2008-02-16 00:31 . 2008-02-16 01:06	<DIR>	d--------	C:\Programme\Winflash
2008-02-14 20:45 . 2008-02-14 20:47	<DIR>	d--------	C:\Programme\RivaTuner v2.06
2008-02-14 20:09 . 2008-02-14 20:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-02-14 18:56 . 2008-02-14 18:56	<DIR>	d--------	C:\Programme\ATITool
2008-02-09 22:44 . 2004-08-18 09:34	442,368	-ra------	C:\WINDOWS\system32\vp6vfw.dll
2008-02-05 19:27 . 2008-02-05 19:27	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-02-05 19:27 . 2008-02-05 19:27	1,409	--a------	C:\WINDOWS\QTFont.for
2008-01-30 13:54 . 2008-01-30 13:54	<DIR>	d--------	C:\Programme\Western Digital Technologies
2008-01-29 19:02 . 2008-01-29 19:02	<DIR>	d--------	C:\Programme\Lavalys
2008-01-26 13:22 . 2008-01-26 13:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\SlySoft
2008-01-26 13:21 . 2008-01-26 13:21	<DIR>	d--------	C:\Programme\SlySoft
2008-01-23 17:44 . 2008-01-23 17:45	524,288	--a------	C:\WINDOWS\AsusOrg.rom
2008-01-23 17:44 . 2007-11-20 09:43	524,288	--a------	C:\WINDOWS\AsusNew.rom
2008-01-23 17:44 . 2008-01-23 17:45	102,400	--a------	C:\WINDOWS\AwdSLP.exe
2008-01-23 17:28 . 2007-04-21 19:06	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-23 17:28 . 2007-04-21 19:06	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-23 17:28 . 2007-04-13 21:52	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-23 17:28 . 2008-02-17 14:30	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-23 17:28 . 2007-04-13 21:52	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-23 17:28 . 2007-04-13 21:52	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-23 17:28 . 2007-04-21 19:06	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-22 21:04 . 2008-01-22 21:04	46,080	--a------	C:\WINDOWS\system32\amdpcom32.dll
2008-01-22 17:00 . 2007-04-21 19:06	<DIR>	d--h-----	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Vorlagen
2008-01-22 17:00 . 2007-04-21 19:06	<DIR>	dr-------	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Startmen
2008-01-22 17:00 . 2007-04-13 21:52	<DIR>	d--h-----	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Netzwerkumgebung
2008-01-22 17:00 . 2008-02-17 14:30	<DIR>	d--h-----	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Lokale Einstellungen
2008-01-22 17:00 . 2007-04-13 21:52	<DIR>	d--------	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Favoriten
2008-01-22 17:00 . 2007-04-13 21:52	<DIR>	d--h-----	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Druckumgebung
2008-01-22 17:00 . 2007-04-21 19:06	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\LogMeInRemoteUser\Anwendungsdaten
2008-01-22 16:49 . 2008-02-16 00:42	<DIR>	d--------	C:\Programme\LogMeIn
2008-01-22 16:49 . 2007-11-15 18:46	87,352	--a------	C:\WINDOWS\system32\LMIinit.dll
2008-01-22 16:49 . 2007-11-15 18:46	83,288	--a------	C:\WINDOWS\system32\LMIRfsClientNP.dll
2008-01-22 16:49 . 2007-08-03 15:09	46,112	--a------	C:\WINDOWS\system32\drivers\LMIRfsDriver.sys
2008-01-22 16:49 . 2007-11-15 18:46	21,496	--a------	C:\WINDOWS\system32\LMIport.dll
2008-01-20 21:53 . 2008-01-20 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\Nokia Multimedia Player
2008-01-20 11:29 . 2008-01-20 11:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\MainConcept
2008-01-20 11:28 . 2008-01-26 13:38	<DIR>	d--------	C:\Dokumente und Einstellungen\Bullrin\.SimpleCenter
2008-01-20 00:26 . 2008-02-16 19:37	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-01-18 17:25 . 2008-01-18 17:25	<DIR>	d--------	C:\Programme\MSBuild
2008-01-17 17:49 . 2008-01-17 17:49	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Symbian

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 13:29	5,632	----a-w	C:\WINDOWS\system32\drivers\avgarkt.sys
2008-02-17 13:11	---------	d-----w	C:\Programme\Trend Micro
2008-02-17 13:05	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-02-17 12:57	---------	d-----w	C:\Programme\Miranda IM
2008-02-16 22:26	---------	d-----w	C:\Programme\SpeedFan
2008-02-16 22:26	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\VMware
2008-02-16 19:41	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\PC Suite
2008-02-16 19:35	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-02-16 19:28	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-02-16 19:28	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-02-16 18:40	---------	d-----w	C:\Programme\TuneUp Utilities 2008
2008-02-16 18:39	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\AVG7
2008-02-14 19:06	---------	d-----w	C:\Programme\ATI Technologies
2008-02-13 13:01	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-10 15:55	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-02-09 21:25	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-02-09 21:22	---------	d-----w	C:\Programme\Gemeinsame Dateien\Macromedia
2008-02-09 20:57	---------	d-----w	C:\Programme\Opera
2008-02-08 11:25	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\Canon
2008-02-02 20:27	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\uTorrent
2008-01-26 11:32	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\Nokia
2008-01-22 21:38	2,845,696	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-01-22 19:58	49,152	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll
2008-01-20 10:47	---------	d-----w	C:\Programme\SimpleCenter
2008-01-20 10:47	---------	d-----w	C:\Programme\Gemeinsame Dateien\i4j_jres
2008-01-19 13:53	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\Bioshock
2008-01-15 20:55	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\NSeries
2008-01-15 20:46	---------	d-----w	C:\Programme\Nokia
2008-01-12 11:22	---------	d-----w	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2008-01-07 12:45	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\InstallShield Installation Information
2008-01-04 17:31	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\Hamachi
2008-01-04 09:47	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\Skype
2008-01-04 09:46	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\skypePM
2008-01-03 18:34	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2008-01-02 23:25	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-01 12:33	---------	d-----w	C:\Programme\Dnote Software
2007-12-30 20:22	---------	d-----w	C:\Programme\uTorrent
2007-12-30 16:03	---------	d-----w	C:\Programme\DAEMON Tools
2007-12-30 12:50	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\DAEMON Tools
2007-12-30 12:45	715,248	----a-w	C:\WINDOWS\system32\drivers\sptd.sys
2007-12-30 11:00	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-12-29 22:07	---------	d-----w	C:\Programme\Google
2007-12-29 21:33	---------	d-----w	C:\Programme\ImageShack
2007-12-29 21:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\PCSuite
2007-12-29 21:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2007-12-29 21:00	---------	d-----w	C:\Programme\PC Connectivity Solution
2007-12-29 20:59	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2007-12-29 20:49	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2007-12-29 20:47	---------	d-----w	C:\Programme\DIFX
2007-12-29 20:43	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2007-12-25 14:04	---------	d-----w	C:\Programme\Gemeinsame Dateien\ATI Technologies
2007-12-25 12:22	---------	d-----w	C:\Programme\Sierra Entertainment
2007-12-24 19:44	---------	d-----w	C:\Programme\ASUS
2007-12-19 21:06	---------	d-----w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\NeroDCTemplates
2007-12-19 20:35	---------	d-----w	C:\Programme\Skype
2007-12-19 20:02	---------	d-----w	C:\Programme\Gemeinsame Dateien\Skype
2007-12-19 20:02	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-12-18 18:17	---------	d-----w	C:\Programme\Gemeinsame Dateien\G DATA
2007-12-18 09:51	179,584	----a-w	C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-08 21:21	102,400	----a-w	C:\WINDOWS\DUMPa884.tmp
2007-12-08 21:15	102,400	----a-w	C:\WINDOWS\DUMP542a.tmp
2007-11-20 08:43	524,288	----a-w	C:\1302.BIN
2007-11-14 15:55	22,328	----a-w	C:\Dokumente und Einstellungen\Bullrin\Anwendungsdaten\PnkBstrK.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2007-04-20 18:31 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 09:03 57344]
"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 17:06 45056]
"Logitech Utility"="Logi_MwX.Exe" [2007-04-20 18:30 20992 C:\WINDOWS\LOGI_MWX.EXE]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 15:49 77824]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2007-04-20 18:32 1126400]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2007-04-20 18:31 188416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-04-20 18:31 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 17:35 1294336]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
LMIinit.dll 2007-11-15 18:46 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\WI559D~1\wbsrv.dll 2007-09-04 10:46 176128 C:\PROGRA~1\WI559D~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 relog_ap

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
"RemoteCenter"=C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Creative MediaSource Go"="C:\Programme\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB
"Creative Detector"=C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
"Steam"="k:\programme\steam\steam.exe" -silent
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
"MtdAcqu"="C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"AtiTrayTools"="C:\Programme\ATI Tray Tools\atitray.exe"
"Miranda IM"=C:\Programme\Miranda IM\miranda32.exe
"speedfan"=C:\Programme\SpeedFan\speedfan.exe
"G15Task"=C:\Programme\Logitech\G-series Software\G15\SDK\samples\G15Task.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" -atboottime
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"CTDVDDET"=C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
"LanguageShortcut"=C:\Programme\CyberLink\PowerDVD\Language\Language.exe
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
"CTxfiHlp"=CTXFIHLP.EXE
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"OSSelectorReinstall"=C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
"AcronisTimounterMonitor"=D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
"CTHelper"=CTHELPER.EXE
"UpdReg"=C:\WINDOWS\UpdReg.EXE
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"vmware-tray"=C:\Programme\VMware\VMware Workstation\vmware-tray.exe
"VMware hqtray"="C:\Programme\VMware\VMware Workstation\hqtray.exe"
"TrueImageMonitor.exe"=D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"InCD"=C:\Programme\Nero\Nero8\InCD\InCD.exe
"SecurDisc"=C:\Programme\Nero\Nero8\InCD\NBHGui.exe
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"LogMeIn GUI"="C:\Programme\LogMeIn\x86\LogMeInSystray.exe"
"sclauncher"=C:\Programme\SimpleCenter\bin\win\sclauncher.exe
"NSLauncher"=C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"ImageShackUtil"=C:\Programme\ImageShack\QuickShot\QuickShot.exe
"LcdStudio"=C:\Programme\LcdStudio\LcdStudio.exe
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"NBKeyScan"="D:\Programme\Nero 8\Nero BackItUp\NBKeyScan.exe"
"vmware-tray"=C:\Programme\VMware\VMware Workstation\vmware-tray.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

FerrariF100GT · 17.02.2008, 19:31

Teil 2

Code:

ATTFilter

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2007-04-20 18:31]
R1 atitray;atitray;C:\Programme\ATI Tray Tools\atitray.sys [2007-05-22 10:04]
R1 KS0108;KS0108;C:\Programme\LcdStudio\ks0108.sys [2006-02-11 23:31]
R1 LC7981;LC7981;C:\Programme\LcdStudio\LC7981.sys [2006-02-11 23:31]
R1 n3900;n3900;C:\Programme\LcdStudio\n3900.sys [2006-08-08 15:46]
R1 SED133x;SED133x;C:\Programme\LcdStudio\SED133x.sys [2006-02-11 23:31]
R1 T6963C;T6963C;C:\Programme\LcdStudio\T6963c.sys [2006-02-11 23:31]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-08-03 15:09]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 15:09]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2007-04-20 18:31]
R2 vstor2-ws60;Vstor2 WS60 Virtual Storage Driver;C:\Programme\VMware\VMware Workstation\vstor2-ws60.sys [2007-04-09 12:55]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2007-04-20 18:31]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2007-04-20 18:31]
R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2007-04-20 18:31]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2007-04-20 18:31]
R3 vmkbd2;VMware kbd2;C:\WINDOWS\system32\drivers\VMkbd.sys [2007-05-01 21:52]
S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\WG11TND5.sys []
S3 atidgllk;atidgllk;C:\Programme\Winflash\atidgllk.sys [2006-07-19 11:04]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 11:10]
S3 gbalink;GBA Link Driver (gbalink.sys);C:\WINDOWS\system32\Drivers\gbalink.sys [2001-03-08 11:15]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-12 12:04]
S3 ufad-ws60;VMware Agent Service;"C:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Programme\VMware\VMware Workstation\\" []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2007-09-11 14:24:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-17 14:32:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\Programme\WindowBlinds\tray.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-17 14:34:43 - machine was rebooted
ComboFix-quarantined-files.txt  2008-02-17 13:34:41
.
2008-02-13 13:02:39	--- E O F ---

Danach hab ich einige Dateien die unter
((((((((((((((((((((((( Dateien erstellt von 2008-01-17 bis 2008-02-17 )))))))))))))))))))))))))))))) Standen gelöscht. Alles was mir verdächtig vorkam.

Was meinst du mit Blacklight? Bitte ein Bsp mit welchem Programm das geht.

Das log von AVG besteht eigentlich aus nichts großartigem. Sind ein paar Dateien die eh schon renamed waren also unschädlich das hat er nur nochmals gefunden. Ansonsten zeigt AVG keine Virenfunde

Franz1968 · 18.02.2008, 11:00

Zitat:

Danach hab ich einige Dateien die unter
((((((((((((((((((((((( Dateien erstellt von 2008-01-17 bis 2008-02-17 )))))))))))))))))))))))))))))) Standen gelöscht. Alles was mir verdächtig vorkam.

Auf diesem Weg ein vertrauenswürdiges System wiederherstellen zu wollen kann ich jetzt nicht wirklich nachvollziehen, denn wer ins Blaue hinein schießt, trifft nicht unbedingt sein Ziel. Ich spekuliere mal, dass dir Einträge wie diese

Zitat:

C:\WINDOWS\system32\drivers\rcngdvhicwnd.sys
C:\WINDOWS\system32\drivers\nbfwfugpgsrh.sys
C:\WINDOWS\system32\drivers\lsmfklkdogya.sys

verdächtig vorkamen, möglicherweise zu Recht, möglicherweise handelt(e) es sich aber auch um Treiber des Rootkit Hook Analyzers, den du ja offenbar benutzt hast.

Zitat:

Ich möchte wirklich nur ungern mein System neu aufsetzen.

Das kann ich nachvollziehen, aber es bleibt in diesem Fall die Empfehlung, es zu tun. Es dürfte erheblich weniger Zeitaufwand erfordern als die zehn Stunden Arbeit, die du schon investiert hast, und als die unbekannte Anzahl Stunden, die du evtl. noch aufwenden musst, um Symptome wie diese

Zitat:

Das was mich am meisten bedrückt ist die tatsache wenn ich die Windows Reparierkonsole aufrufe ( Xp cd rein starten r drücken...) und dann fixmbr ausführe erstmal eine lange Meldung kommt das irgendetwas mit der Datei nicht stimmt und ich möglicherweise meine partitionstabellen zerstöre.

in den Griff zu bekommen.

PS:

Zitat:

Was meinst du mit Blacklight?

Blacklight kann einige Rootkits, darunter Bagle, aufspüren und sie umbenennen (daher mein Trugschluss, du hättest schon benutzt), aber nicht entfernen. Du findest es bei F-Secure.

FerrariF100GT · 18.02.2008, 22:37

@franz:
ja du hast recht ich habe nun mein System neu aufgesetzt. Man fühlt sich einfach besser danach. Es läuft nun wieder alles rund

Ja genau das F-Secure hatte ich benutzt.

Vielen Dank an alle!

Bagle bekämpft. Ist wirklich alles clean?

Plagegeister aller Art und deren Bekämpfung: Bagle bekämpft. Ist wirklich alles clean?