Hab vorhin meinen PC mit meinem Antivirenprogramm chcken lassen. Da hat er den Virus Heur. Invader gefunden. Als ich aber diejenige Datei desinfizieren wollte war sie nicht mehr vorhanden. Komisch das die Datei catchme.cfexe heisst.

Hier mal mein HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:43, on 08.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\Programme\iTunes\iTunesHelper.exe
F:\Programme\VMware\VMware Player\hqtray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
F:\Programme\GetRight\getright.exe
F:\Tools\HiJackThis\hijackthis neu\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.com/de/product_downloads?chapter=186439474&downlink=201518624
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VMware hqtray] "F:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Tools\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6722 bytes

Hi HIjack

Schon wieder du??

Bitte lass mal ComboFix laufen vorher aber Ccleaner benutzen.
Logfile von ComboFix bitte posten.
Auch Malwarebytes laufen lassen und Report posten.

hallo,
ich kenne die vorgeschichte nicht. aber:
catchme.cfexe gehört zu combofix. daß die von manchem scanner
angemeckert wird, ist normal. deswegen brauchst du dir keine sorgen
machen.

Zitat:

Zitat von boston

hallo,
ich kenne die vorgeschichte nicht. aber:
catchme.cfexe gehört zu combofix. daß die von manchem scanner
angemeckert wird, ist normal. deswegen brauchst du dir keine sorgen
machen.

Ja, bei mir wurden auch welche von AV's angemeckert.
Genau wie bei Smitfraud Fix

Zitat:

Zitat von boston

hallo,
ich kenne die vorgeschichte nicht. aber:
catchme.cfexe gehört zu combofix. daß die von manchem scanner
angemeckert wird, ist normal. deswegen brauchst du dir keine sorgen
machen.

Da bin ich aber froh. Vielen Dank!

Hab jetzt ComboFix gelöscht damit mir Kaspersky bei der Virensuche nicht immer ständig wegen catchme.cfexe von combofix Alarm anzeigt. Allerdings ist nicht alles von catchme.cfexe verschwunden. Auf Laufwerk C: und Laufwerk F: beindet sich je ein versteckter Odrner mit dem Namen System Volume Information in dessen Unterordner Restore sich catchme.cfexe befindet. Und eben hier schlägt Kaspersky auch wieder Alarm. Kann ich die beiden Einträge löschen? Um was für einen Ordner handelt es sich bei System Volume Information? Ich habe selbst als Administrator keinen Zugriff darauf.

Hallo
Der Systemordner System Volume Information gehört zur Systemwiederherstellung. Deaktiviere sie und versuche die catchme.cfexe zu löschen, nicht den Ordner selbst. Danach wieder aktivieren.

Zitat:

Zitat von -SilverDragon-

Hallo
Der Systemordner System Volume Information gehört zur Systemwiederherstellung. Deaktiviere sie und versuche die catchme.cfexe zu löschen, nicht den Ordner selbst. Danach wieder aktivieren.

Hat leider nix gebracht. Selbst nach deaktivieren der Systemwiederherstellung konnte ich den Ordner sogar als Administrator nicht öffnen.

Hab jetzt nochmal ein paar Scans gemacht:

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54, on 2008-04-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
F:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
F:\Programme\VMware\VMware Player\hqtray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
F:\Programme\Eraser\Eraser.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
F:\Tools\HiJackThis\hijackthis neu\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VMware hqtray] "F:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [siabcs] C:\Programme\Steganos Internet Anonym 2\siabcs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [Eraser] F:\Programme\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: klickTel OEM 2007 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Tools\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 7703 bytes


eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sat Apr 12 09:48:36 2008 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com)
Sat Apr 05 13:24:03 2008 => Virus Database Date: 3/9/2007
Sat Apr 05 13:37:33 2008 => Virus Database Date: 4/5/2008
Sat Apr 05 14:10:46 2008 => Virus Database Date: 4/5/2008
Sat Apr 05 14:10:51 2008 => Virus Database Date: 4/5/2008
Sun Apr 06 13:27:42 2008 => Virus Database Date: 4/5/2008
Sun Apr 06 13:28:25 2008 => Virus Database Date: 4/6/2008
Sun Apr 06 16:51:28 2008 => Virus Database Date: 4/6/2008
Sun Apr 06 17:46:52 2008 => Virus Database Date: 4/6/2008
Sat Apr 12 09:48:30 2008 => Virus Database Date: 4/6/2008
Sat Apr 12 12:43:32 2008 => Virus Database Date: 4/6/2008
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 05 13:38:49 2008 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: No Action Taken.
Sat Apr 05 13:39:13 2008 => System found infected with regsort Corrupted Adware/Spyware (hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: No Action Taken.
Sun Apr 06 13:31:22 2008 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: No Action Taken.
Sun Apr 06 13:31:43 2008 => System found infected with regsort Corrupted Adware/Spyware (hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: No Action Taken.
Sat Apr 12 09:49:28 2008 => System found infected with smitfraud Browser Hijacker (mp3.url)! Action taken: No Action Taken.
Sat Apr 12 09:49:53 2008 => System found infected with regsort Corrupted Adware/Spyware (hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sat Apr 05 13:47:58 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sun Apr 06 14:59:37 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sun Apr 06 15:00:18 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sun Apr 06 15:00:57 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sun Apr 06 15:01:06 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sat Apr 12 11:05:48 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sat Apr 12 11:06:29 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sat Apr 12 11:07:07 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
Sat Apr 12 11:07:17 2008 => File {} infected by "Trojan-Spy.HTML.Fraud.gen" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Apr 05 13:48:12 2008 => File C:\Dokumente und Einstellungen\****\Eigene Dateien\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
Sun Apr 06 13:39:15 2008 => File C:\Dokumente und Einstellungen\****\Eigene Dateien\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
Sun Apr 06 16:50:42 2008 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
Sun Apr 06 16:50:43 2008 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
Sat Apr 12 09:56:58 2008 => File C:\Dokumente und Einstellungen\****\Eigene Dateien\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
Sat Apr 12 12:43:15 2008 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
Sat Apr 12 12:43:16 2008 => File F:\Tools\SmitFraudFix v2.148\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Apr 05 13:38:49 2008 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\mp3\mp3.url
Sun Apr 06 13:31:22 2008 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\mp3\mp3.url
Sat Apr 12 09:49:28 2008 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Favoriten\mp3\mp3.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Apr 05 13:38:49 2008 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Favoriten\autos
Sun Apr 06 13:31:22 2008 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Favoriten\autos
Sat Apr 12 09:49:27 2008 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Favoriten\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sat Apr 05 13:38:32 2008 => Offending Key found: HKCU\\imageactivexobject.ñhl !!!
Sat Apr 05 13:38:41 2008 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Sat Apr 05 13:38:41 2008 => Offending Key found: HKLM\System\ControlSet002\Services\iprip !!!
Sat Apr 05 13:38:41 2008 => Offending Key found: HKLM\System\ControlSet004\Services\iprip !!!
Sat Apr 05 13:39:22 2008 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7} !!!
Sun Apr 06 13:29:04 2008 => Offending Key found: HKCU\\imageactivexobject.ñhl !!!
Sun Apr 06 13:31:16 2008 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Sun Apr 06 13:31:16 2008 => Offending Key found: HKLM\System\ControlSet002\Services\iprip !!!
Sun Apr 06 13:31:16 2008 => Offending Key found: HKLM\System\ControlSet004\Services\iprip !!!
Sun Apr 06 13:31:54 2008 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7} !!!
Sat Apr 12 09:49:05 2008 => Offending Key found: HKCU\\imageactivexobject.ñhl !!!
Sat Apr 12 09:49:22 2008 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Sat Apr 12 09:49:22 2008 => Offending Key found: HKLM\System\ControlSet002\Services\iprip !!!
Sat Apr 12 09:49:22 2008 => Offending Key found: HKLM\System\ControlSet004\Services\iprip !!!
Sat Apr 12 09:50:03 2008 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{81052b1a-3d58-11d9-bffc-0011097ae5f7} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SmitFraudFix

SmitFraudFix v2.148

Scan done at 13:02:39,57, 12.04.2008
Run from F:\Tools\SmitFraudFix v2.148\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Beim Scan von eScan fielen mir 15 kritische Objekte auf die eScan gefunden hatte:

Object „image activex access Trojan“ found in File System! Action Taken: No Action Taken.
Object „linkmedia Trojan“ found in File System! Action Taken: No Action Taken.
Object „linkmedia Trojan“ found in File System! Action Taken: No Action Taken.
Object „linkmedia Trojan“ found in File System! Action Taken: No Action Taken.
Object „gohip Spyware/Adware“ found in File System! Action Taken: No Action Taken.
Object „regsort Corrupted Adware/Spyware“ found in File System! Action Taken: No Action Taken.
Object „Possible Fujacks-type Worm“ found in File System! Action Taken: No Action Taken.
File {} infected by “Trojan-Spy.HTML.Fraud.gen”Virus! Action Taken: No Action Taken.
File {} infected by “Trojan-Spy.HTML.Fraud.gen”Virus! Action Taken: No Action Taken.
File {} infected by “Trojan-Spy.HTML.Fraud.gen”Virus! Action Taken: No Action Taken.
File {} infected by “Trojan-Spy.HTML.Fraud.gen”Virus! Action Taken: No Action Taken.

(Die restlichen vier Funde sind Programmteile von SmitFraudFix bei denen eScan rummeckerte)

Hab ich noch Schädlinge in meinem System?

So. Hab jetzt mal CCleaner; ComboFix, Malwarebytes Anti-Malware und HijackThis laufen lassen.

Hier die Log-Dateien:

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:59:22, on 12.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
F:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\iTunes\iTunesHelper.exe
F:\Programme\VMware\VMware Player\hqtray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
F:\Programme\Eraser\Eraser.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
F:\Tools\HiJackThis\hijackthis neu\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VMware hqtray] "F:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [siabcs] C:\Programme\Steganos Internet Anonym 2\siabcs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [Eraser] F:\Programme\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: klickTel OEM 2007 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\Tools\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 7969 bytes

ComboFix:

ComboFix 08-04-11.8 - User 2008-04-12 19:10:57.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.522 [GMT 2:00]
ausgeführt von:: F:\Tools\ComboFix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-03-12 bis 2008-04-12 ))))))))))))))))))))))))))))))
.

2008-04-12 13:01 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-12 13:01 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-12 13:01 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-05 17:05 . 2008-04-05 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
2008-04-05 17:05 . 2008-04-05 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-19 22:36 . 2008-03-19 22:36 38 --a------ C:\WINDOWS\AviSplitter.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-12 17:16 28,517,920 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-12 17:16 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-04-12 17:16 1,015,840 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-12 17:16 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-04-12 17:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-04-12 17:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-12 17:15 98,324 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-12 17:15 387,092 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-12 11:30 --------- d-----w C:\Dokumente und Einstellungen\Matthias 2\Anwendungsdaten\GetRight
2008-04-06 11:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-11 17:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-11 17:36 --------- d-----w C:\Programme\ATI Technologies
2008-03-11 17:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-11 17:30 --------- d-----w C:\Programme\Driver Cleaner
2008-03-08 16:42 --------- d-----w C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-03-07 11:30 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-02-25 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 18:35 226,496 ----a-w C:\WINDOWS\system32\drivers\truecrypt.sys
2008-02-16 18:34 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
2008-02-12 10:25 --------- d-----w C:\Dokumente und Einstellungen\Matthias 2\Anwendungsdaten\ATI
2008-02-12 01:20 --------- d-----w C:\Programme\Winamp
2008-02-12 01:18 --------- d-----w C:\Programme\Winamp Remote
2008-02-12 01:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-02-12 01:01 --------- d-----w C:\Programme\QuickTime
2008-02-12 01:00 --------- d-----w C:\Programme\Apple Software Update
2008-02-12 01:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-12 00:56 --------- d-----w C:\Programme\Java
2008-02-12 00:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-12 00:30 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\ATI
2005-12-17 17:37 188 ----a-w C:\Dokumente und Einstellungen\User\Anwendungsdaten\wklnhst.dat
2004-11-18 19:35 34,587 ----a-w C:\Programme\DRUNK2.JPG
2004-07-28 19:39 249,561 ----a-w C:\Programme\fahrschule.jpg
2004-03-05 12:58 34,002 ----a-w C:\Programme\TOTIREDT.JPG
2006-05-06 16:42 7,260,160 ----a-w C:\Programme\mozilla firefox\plugins\libvlc.dll
2005-03-10 01:05 53,323 ----a-w C:\Programme\opera\program\plugins\PlugDef.dll
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"siabcs"="C:\Programme\Steganos Internet Anonym 2\siabcs.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 22:02 495616]
"Eraser"="F:\Programme\Eraser\Eraser.exe" [2007-12-23 01:03 916240]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" [2004-09-03 13:31 2596864 C:\WINDOWS\CmiCnfg.cpl]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 02:01 110592]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 14:02 61440]
"Dit"="Dit.exe" [2004-04-02 14:31 86016 C:\WINDOWS\Dit.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 04:42 144784]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-10-18 12:58 278528]
"VMware hqtray"="F:\Programme\VMware\VMware Player\hqtray.exe" [2007-05-01 22:46 56112]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-12-18 01:43 227856]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-01-16 12:56 176128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\system32\\ccapp.exe"= %windir%\\system32\\unst.exe
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP4a\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XI.SP4a\\RpcSandraSrv.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 SI3112r;ATI-4379 Serial ATA Controller;C:\WINDOWS\system32\DRIVERS\SI3112r.sys [2007-08-29 04:04]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-04-12 19:16]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;F:\Tools\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-04 14:00]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-04 14:00]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-04 14:00]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-04 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
Inhalt des "geplante Tasks" Ordners
"2008-03-07 10:46:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-12 19:17:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
F:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Programme\klickTel\klickTel OEM 2007\KSTART32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-12 19:21:33 - machine was rebooted [User]
ComboFix-quarantined-files.txt 2008-04-12 17:21:25
19 Verzeichnis(se), 47,380,140,032 Bytes frei
22 Verzeichnis(se), 47,411,458,048 Bytes frei
.
2008-04-09 16:02:55 --- E O F ---


Malwarebytes Anti-Malware :

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 581

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 368948
Scan Dauer: 1 hour(s), 26 minute(s), 12 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Combofix hat diesesmal funktioniert. Grund dafür warum es früher nicht geklappt hat: ich habe Kaspersky nicht deaktiviert. In der Anleitung von ComboFix steht ja das man Firewall und Antivirusprogramme deaktivieren soll.

Kann mir bitte jemand sagen ob ich noch Schädlinge auf dem PC habe oder nicht? Und wie kann ich jetzt aus dem verstecktern Ordner mit dem Namen System Volume Information (auf Laufwerk F:/) die Datei catchme.cfexe löschen? Der Tip von -SilverDragon- hat leider nicht funktioniert. Ich habe selbst als Administrator noch immer keinen Zugriff darauf. Selbst bei deaktivierter Systemwiederherstellung.

Deine Logfiles sehen sauber aus. Hijackthis wie auch ComboFix.
Hast du noch irgendwelche Probleme oder läuft alles wie es sollte?

Zitat:

Zitat von Hijack

Und wie kann ich jetzt aus dem verstecktern Ordner mit dem Namen System Volume Information (auf Laufwerk F:/) die Datei catchme.cfexe löschen? Der Tip von -SilverDragon- hat leider nicht funktioniert. Ich habe selbst als Administrator noch immer keinen Zugriff darauf. Selbst bei deaktivierter Systemwiederherstellung.

wenn du die systemwiederherstellung für das laufwerk deaktivierst,
sollte auch auch die datei verschwinden.
nach der prozedur kannst du die systemwiederherstellung wieder aktivieren.
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

sollte es dir nur um die datei gehen, erhälst du so zugriff auf
den ordner(letzter absatz):
How to gain access to the System Volume Information folder

Zitat:

Zitat von boston

wenn du die systemwiederherstellung für das laufwerk deaktivierst,
sollte auch auch die datei verschwinden.
nach der prozedur kannst du die systemwiederherstellung wieder aktivieren.
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

sollte es dir nur um die datei gehen, erhälst du so zugriff auf
den ordner(letzter absatz):
How to gain access to the System Volume Information folder

Vielen Dank! Hat geklappt. Konnte jetzt den Ordner öffnen. Komischerweise ist die Datei die Kaspersky findet wirklich nicht vorhanden. Aber warum findet Kaspersky die Datei dann immer wieder und meckert andauernd rum? Ich lasse gerade Kaspersky nochmal laufen. Bin ja mal gespannt. Komischerweise zeigt der Ordner System Volume Information 0 Kb an wenn ich ihn mit der rechten Maustaste anklicke und Eigenschaften wähle. 0 Kb heisst für mich er ist leer.

Kaspersky ist durch und hat nix mehr gefunden. Gottseidank.