Windows Security Alert - Hilfe mit Logfile

carter · 21.03.2008, 22:33

Hallo, bin ich hier richtig, wenn ich ein Problem mit Trojanern habe?

Problem:
Es erscheint alle 30 sec. dieses Fenster:

Zusätzlich wimmelt die Taskleiste von gelben Dreiecken und roten x-buttons. Bei jedem Klick lande ich auf der Seite von "Virenschlacht"

Wie ich gelesen habe ist das Problem nicht neu.

Wie in anderen Beiträgen beschrieben, habe ich bisher folgendes gemacht:

1: ClearProg laufen lassen
2: Systemwiederherstellung deaktiviert
3: SmitfraudFix ausgeführt (wenn empfohlen im abgesicherten Modus)
4: HijackThis laufen lassen

Hier sind die entsprechenden Logs:

1. vorher:

SmitFraudFix v2.306

Scan done at 20:43:42,25, 21.03.2008
Run from D:\Eigene Dateien\***\Download\Cleaning-tools\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVirus\Avast Home\aswUpdSv.exe
C:\Programme\AntiVirus\Avast Home\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SPAMfighter\sfus.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVirus\Avast Home\ashMaiSv.exe
C:\Programme\AntiVirus\Avast Home\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ANTIVI~1\AVASTH~1\ashDisp.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\TEMP\win10E.exe
C:\WINDOWS\system32\jisyxlxq.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{858A4886-C8C3-4E43-9D3C-6E74B6AAD921}: DhcpNameServer=192.168.0.1 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

2. nachher:

SmitFraudFix v2.306

Scan done at 21:10:06,42, 21.03.2008
Run from D:\Eigene Dateien\***\Download\Cleaning-tools\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

localhost 127.0.0.1

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{858A4886-C8C3-4E43-9D3C-6E74B6AAD921}: DhcpNameServer=192.168.0.1 192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Schließlich ist hier die HJT- Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:26, on 21.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVirus\Avast Home\aswUpdSv.exe
C:\Programme\AntiVirus\Avast Home\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SPAMfighter\sfus.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\win10E.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ANTIVI~1\AVASTH~1\ashDisp.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\jisyxlxq.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVirus\Avast Home\ashMaiSv.exe
C:\Programme\AntiVirus\Avast Home\ashWebSv.exe
C:\WINDOWS\system32\msiexec.exe
D:\Eigene Dateien\***\Download\Cleaning-tools\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6F5D40A0-61D2-C26B-B1AE-0B9F23F7872E} - C:\WINDOWS\system32\sogxlvgh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\BUYERT~1\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\AVASTH~1\ashDisp.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [jisyxlxq] C:\WINDOWS\system32\jisyxlxq.exe
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvmuf.dll,startup
O4 - HKLM\..\Run: [kfuvstit] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kfuvstit.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKLM\..\Policies\Explorer\Run: [rDAmLs9Ztv] C:\WINDOWS\TEMP\win10E.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: amazon Suche - C:\Programme\Buyertools Reminder\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Buyertools Reminder\Searchamazon.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Buyertools Reminder\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Buyertools Reminder\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: winpwo32 - C:\WINDOWS\SYSTEM32\winpwo32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\AntiVirus\Avast Home\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\AntiVirus\Avast Home\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\AntiVirus\Avast Home\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\AntiVirus\Avast Home\ashWebSv.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programme\SPAMfighter\sfus.exe

--
End of file - 8299 bytes

Kann mir jemand sagen, was los ist?
Ich freu mich auf Hilfe!

Sabina · 22.03.2008, 09:24

Hallo,

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat:

O2 - BHO: (no name) - {6F5D40A0-61D2-C26B-B1AE-0B9F23F7872E} - C:\WINDOWS\system32\sogxlvgh.dll

O4 - HKLM\..\Run: [jisyxlxq] C:\WINDOWS\system32\jisyxlxq.exe

O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvmuf.dll,startup

O4 - HKLM\..\Run: [kfuvstit] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kfuvstit.dll"

O4 - HKLM\..\Policies\Explorer\Run: [rDAmLs9Ztv] C:\WINDOWS\TEMP\win10E.exe

O20 - Winlogon Notify: winpwo32 - C:\WINDOWS\SYSTEM32\winpwo32.dll

2.
wende CCleaner an
CCleaner

3.
wende sdfix an , beachte, funktioniert nur im abgesicherten Modus
SDFix

poste dann hier den Report

4.
erstelle ein Log von Combofix + poste hier den report
combofix

carter · 22.03.2008, 11:09

Hallo Sabina,

danke für die Hilfe.

Ich habe alles soweit ausgeführt (Die Fenster sind auch schon verschwunden:aplaus

Probleme hatte ich nur bei SDFix - vielleicht hab ich etwas nicht verstanden...

Alles, was ich habe ist das hier:

Combofix ist prblemlos durchgelaufen - hier der Report:

ComboFix 08-03-21.2 - WERNER 2008-03-22 10:50:53.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.785 [GMT 1:00]
ausgeführt von:: D:\Eigene Dateien\Edelholz\Download\Cleaning-tools\ComboFix\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\winpwo32.dll
----- BITS: Possible infected sites -----
hxxp://download2.lexware.de
.
((((((((((((((((((((((((( Files Created from 2008-02-22 to 2008-03-22 )))))))))))))))))))))))))))))))
.
2008-03-22 10:45 . 2008-03-21 00:23 <DIR> d-------- C:\Programme\SDFix
2008-03-22 10:40 . 2008-03-21 00:23 <DIR> d-------- C:\SDFix
2008-03-22 10:32 . 2008-03-22 10:32 <DIR> d-------- C:\Programme\CCleaner
2008-03-22 10:23 . 2008-03-22 10:23 110,592 --a------ C:\WINDOWS\system32\cfjlwotw.dll
2008-03-22 10:23 . 2008-03-22 10:23 110,592 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kfyjyhgj.dll
2008-03-22 10:23 . 2008-03-22 10:23 98,304 --a------ C:\WINDOWS\system32\iizqwlpy.exe
2008-03-22 09:46 . 2008-03-22 09:46 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-22 09:46 . 2008-03-22 09:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-22 03:24 . 2008-03-22 03:24 <DIR> d-------- C:\escan
2008-03-22 01:23 . 2008-03-22 05:47 0 --a------ C:\23990098.$$$
2008-03-21 23:12 . 2008-03-21 23:12 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-21 23:12 . 2008-03-21 23:12 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-21 23:12 . 2008-03-21 23:12 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-21 23:12 . 2008-03-21 23:12 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-21 23:12 . 2008-03-21 23:12 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-21 23:12 . 2008-03-21 23:12 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-21 23:12 . 2008-03-21 23:13 5,001,362 --a------ C:\WINDOWS\REGBK00.ZIP
2008-03-21 23:01 . 2004-08-04 00:58 153,600 --a------ C:\WINDOWS\R.COM
2008-03-21 23:01 . 2004-08-04 00:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-21 23:01 . 2008-03-22 03:33 50 --a------ C:\WINDOWS\Lic.xxx
2008-03-21 21:20 . 2008-03-21 21:20 <DIR> d-------- C:\Programme\Trend Micro
2008-03-21 20:58 . 2006-02-08 07:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-21 20:58 . 2006-02-08 00:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-03-21 20:58 . 2006-02-08 00:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-21 20:58 . 2006-02-08 00:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-21 20:58 . 2006-02-08 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-21 20:58 . 2006-02-08 00:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-21 20:58 . 2006-02-08 00:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-21 20:43 . 2008-03-21 21:10 2,698 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-21 20:37 . 2008-03-21 20:37 <DIR> d-------- C:\Programme\ClearProg
2008-03-21 11:00 . 2008-03-21 11:00 110,592 --a------ C:\WINDOWS\system32\sogxlvgh.dll
2008-03-21 11:00 . 2008-03-21 11:00 110,592 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kfuvstit.dll
2008-03-21 11:00 . 2008-03-21 11:00 98,304 --a------ C:\WINDOWS\system32\jisyxlxq.exe
2008-03-21 11:00 . 2008-03-21 11:00 18,944 --a------ C:\WINDOWS\system32\drvmuf.dll
2008-02-26 09:55 . 2008-02-26 09:55 <DIR> d-------- C:\Programme\dakotaag
2008-02-26 09:55 . 2008-02-26 09:55 <DIR> d-------- C:\dakotaag
2008-02-26 09:55 . 2006-10-23 18:38 1,649,152 --a------ C:\WINDOWS\system32\clinetsuitex6.ocx
2008-02-26 09:55 . 2006-07-07 15:30 430,080 --a------ C:\WINDOWS\system32\fldrvw71.ocx
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 09:23 --------- d-----w C:\Programme\SPAMfighter
2008-03-21 20:29 --------- d-----w C:\Programme\Buyertools Reminder
2008-03-19 10:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
2008-03-05 21:42 --------- d-----w C:\Dokumente und Einstellungen\WERNER\Anwendungsdaten\Canon
2008-02-27 16:49 --------- d-----w C:\Dokumente und Einstellungen\WERNER\Anwendungsdaten\Lexware
2008-02-26 09:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-26 09:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-02-26 08:55 --------- d-----w C:\Programme\Gemeinsame Dateien\DAO
2008-02-26 08:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
2008-02-12 22:11 --------- d-----w C:\Programme\Finale NotePad 2007
2008-02-11 15:24 344,064 ----a-w C:\WINDOWS\system32\BH_DATA110VC8.dll
2008-02-10 20:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-02-10 19:48 --------- d-----w C:\Programme\ElsterFormular
2008-02-08 08:48 --------- d-----w C:\Programme\Smart Projects
2008-01-31 10:52 --------- d-----w C:\Programme\Cuneiform 6.0
2008-01-29 14:59 --------- d-----w C:\Programme\Küchenplanung
2008-01-21 15:43 1,690,728 ----a-w C:\Programme\Rundum-Betrachter-innoPlus.9.0.1.18.exe
2008-01-21 15:40 2,141,272 ----a-w C:\Programme\3D-Viewer-innoPlus.9.0.1.18.exe
2007-09-19 15:04 94,488 ----a-w C:\Dokumente und Einstellungen\WERNER\Anwendungsdaten\GDIPFONTCACHEV1.DAT
1999-06-10 09:34 570,128 ----a-w C:\Programme\Gemeinsame Dateien\DAO350.DLL
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-14 18:50 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 14:51 7323648]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 12:00 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-04-20 20:13 145408]
"Corel Reminder"="" []
"avast!"="C:\PROGRA~1\ANTIVI~1\AVASTH~1\ashDisp.exe" [2007-12-04 14:00 79224]
"SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2008-01-02 17:03 308880]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpwo32]
winpwo32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\sandra.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\RpcSandraSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\RpcDataSrv.exe"=
"C:\\Programme\\Corel\\Graphics10\\Register\\NAVBrowser.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
R2 SPAMfighter Update Service;SPAMfighter Update Service;C:\Programme\SPAMfighter\sfus.exe [2007-12-14 09:57]
.
Contents of the 'Scheduled Tasks' folder
"2008-03-21 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 10:53:49
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVirus\Avast Home\aswUpdSv.exe
C:\Programme\AntiVirus\Avast Home\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVirus\Avast Home\ashMaiSv.exe
C:\Programme\AntiVirus\Avast Home\ashWebSv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\AntiVirus\Avast Home\setup\avast.setup
.
**************************************************************************
.
Completion time: 2008-03-22 10:56:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-22 09:56:16

Ist mein Rechner jetzt wieder gesund?

Gruß, Carter

Windows Security Alert - Hilfe mit Logfile

Log-Analyse und Auswertung: Windows Security Alert - Hilfe mit Logfile