System befallen oder nicht?

hempsoldier · 04.06.2008, 12:39

Hallo,
ich hab schon oft dieses Forum durchstöbert und Hilfe gefunden ohne selbst etwas schreiben zu müssen. Jetzt bin ich aber auch einmal an der Reihe

.
Ich bin mir nicht sicher, ob mein System von einem Trojaner oder ähnlichem befallen ist. AVG 8.0 hat schon mehrmals Trojaner entdeckt und beseitigt.
Da ich aber durch lesen in diesem Board weiß, dass auch der Virenscanner unterwandert werden, kann poste ich mein Hijackthis-logfile und hoffe jemand kann mir weiterhelfen.
Wenn nötig kann ich auch noch die AVG scan results hier reinschreiben.

HJ-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:18:31, on 04.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\AVGfree\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\PROGRA~1\AVGfree\avgrsx.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
D:\PROGRA~1\AVGfree\avgtray.exe
D:\Programme\Hide Folders XP 2\hfxp.exe (von mir installiertes Programm.)
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Dokumente und Einstellungen\***\Desktop\w3hph.exe (von mir installiertes Programm.)
D:\Programme\hijcakthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = mistt
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programme\AVGfree\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVGfree\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [hfxp] "D:\Programme\Hide Folders XP 2\hfxp.exe" /s
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211203847921
O17 - HKLM\System\CCS\Services\Tcpip\..\{86C735BC-74FC-48CA-B093-9FB4A56B238F}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programme\AVGfree\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVGfree\avgwdsvc.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

markusg · 04.06.2008, 12:49

hi,
kannst ja mal die meldungen und fundorte posten. auf den ersten blick sieht dein HijackThis gut aus. Aber du hast recht das muss ncihts bedeuten also mache bitte noch das hier:ComboFix
*
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool
hier herunter auf den Desktop -> KLICK

Das Programm
jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software
und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten ->
CCleaner Systembereinigung

Starte nun die combofix.exe
von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt,
diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken
um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Gruß

hempsoldier · 04.06.2008, 13:37

Vielen Dank für die schnelle Antwort. Schön, dass schonmal das HJ-Logfile gut aussieht.
Habe die Anleitung befolgt und poste nun das Combofix-Logfile:

ComboFix 08-06-03.1 - *** 2008-06-04 14:31:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.831 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-04 bis 2008-06-04 ))))))))))))))))))))))))))))))
.

2008-06-04 14:28 . 2008-06-04 14:28 <DIR> d-------- D:\Programme\CCleaner
2008-06-04 13:05 . 2008-06-04 13:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-06-04 13:04 . 2008-06-04 13:07 <DIR> d-------- D:\Programme\Adobe Audition 3.0
2008-06-04 13:04 . 2008-06-04 13:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-03 22:25 . 2008-06-03 22:25 <DIR> d-------- D:\Programme\joining gg
2008-06-01 16:59 . 2008-06-01 17:34 <DIR> d-------- D:\Programme\ScummVM
2008-06-01 16:59 . 2008-06-01 16:59 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScummVM
2008-05-24 09:20 . 2008-05-24 09:20 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-24 02:01 . 2008-05-24 02:02 <DIR> d-------- D:\Programme\hotbabe
2008-05-23 21:34 . 2008-05-23 21:37 <DIR> d-------- D:\Programme\totalcmd
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-05-23 21:34 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-05-20 23:39 . 2008-05-20 23:39 <DIR> d-------- C:\WINDOWS\Sun
2008-05-19 23:34 . 2008-05-19 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Talkback
2008-05-19 23:33 . 2008-05-27 22:15 <DIR> d-------- D:\Programme\Mozilla Thunderbird
2008-05-19 23:33 . 2008-05-19 23:33 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
2008-05-19 15:47 . 2008-05-19 15:47 <DIR> d-------- D:\Programme\warcraft_window_tool
2008-05-19 15:46 . 2008-05-19 17:01 <DIR> d-------- D:\Programme\warcraft_ReplaySeeker
2008-05-19 15:32 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-05-19 15:32 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-19 15:32 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-19 15:32 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-19 15:32 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-19 15:30 . 2008-05-19 15:30 <DIR> d---s---- C:\Dokumente und Einstellungen\***\UserData
2008-05-19 02:36 . 2008-05-23 21:36 <DIR> d-------- D:\Programme\Total Video Converter
2008-05-19 02:36 . 2000-05-22 22:58 608,448 --a------ C:\WINDOWS\system32\comctl32.ocx
2008-05-17 20:04 . 2008-05-19 20:07 <DIR> d-------- D:\Programme\Adobe Audition 2.0
2008-05-17 19:11 . 2008-04-14 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-05-15 13:13 . 2008-05-15 13:13 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-14 17:54 . 2008-05-14 17:54 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-05-13 12:27 . 2008-05-13 12:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Vbox
2008-05-11 23:29 . 2008-05-11 23:29 <DIR> d-------- D:\Programme\DeepBurner
2008-05-11 23:29 . 2008-05-12 09:14 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DeepBurner
2008-05-11 22:16 . 2008-05-11 22:16 <DIR> d-------- D:\Programme\QuickTime
2008-05-11 22:16 . 2008-05-11 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-05-11 22:15 . 2008-05-11 22:15 <DIR> d-------- D:\Programme\Apple Software Update
2008-05-11 22:15 . 2008-05-11 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-05-09 18:49 . 2008-05-09 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nero
2008-05-08 15:48 . 2008-06-04 13:18 <DIR> d-------- D:\Programme\hijcakthis
2008-05-08 13:38 . 2008-05-08 13:38 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-05-08 03:54 . 2008-05-08 03:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-05-08 03:53 . 2008-05-08 03:53 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Logitech
2008-05-08 03:52 . 2006-10-08 21:51 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-08 03:52 . 2008-05-08 03:52 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-08 03:52 . 2008-05-08 03:52 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2008-05-08 03:52 . 2008-05-08 03:52 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-05-08 03:51 . 2008-05-08 03:51 <DIR> d-------- D:\Programme\Logitech
2008-05-08 03:51 . 2008-05-08 03:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logishrd
2008-05-08 03:51 . 2008-05-08 03:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-05-08 03:51 . 2008-01-09 12:26 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll
2008-05-08 03:51 . 2008-01-09 12:27 170,512 --a------ C:\WINDOWS\system32\kemutb.dll
2008-05-08 03:51 . 2008-01-09 12:28 141,840 --a------ C:\WINDOWS\system32\KemUtil.dll
2008-05-08 03:51 . 2008-01-09 12:28 117,264 --a------ C:\WINDOWS\system32\KemWnd.dll
2008-05-08 03:51 . 2008-01-09 12:28 76,304 --a------ C:\WINDOWS\system32\KemXML.dll
2008-05-07 22:58 . 2008-05-07 22:58 <DIR> d-------- D:\Programme\Teamspeak2_RC2
2008-05-07 22:58 . 2008-05-07 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-05-07 22:58 . 2008-05-07 22:58 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-05-07 03:17 . 2008-06-04 01:01 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-07 02:35 . 2008-06-02 04:11 <DIR> d-------- D:\Programme\rapiduploader
2008-05-07 00:50 . 2008-05-07 00:54 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-05-07 00:50 . 2008-05-07 01:11 68,490 --a------ C:\WINDOWS\War3Unin.dat
2008-05-07 00:50 . 2008-05-07 00:54 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-05-06 14:38 . 2008-05-07 01:10 <DIR> d-------- D:\Programme\WarCraft III US Converter v2
2008-05-06 11:54 . 2008-05-06 11:54 <DIR> d-------- D:\Programme\DAEMON Tools Lite
2008-05-06 11:46 . 2008-05-06 11:46 <DIR> d-------- D:\Programme\mediaplayclassic
2008-05-06 11:46 . 2008-05-06 11:46 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic
2008-05-06 11:44 . 2008-05-06 11:44 <DIR> d-------- D:\Programme\NeroInstall.bak
2008-05-06 11:41 . 2008-05-06 11:41 <DIR> d-------- D:\Programme\Nero
2008-05-06 11:41 . 2008-05-06 11:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-06 11:41 . 2008-05-06 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-05-06 11:29 . 2008-05-06 11:29 <DIR> d-------- D:\Programme\dotakeys
2008-05-06 11:26 . 2008-05-06 11:26 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-05-06 11:25 . 2008-05-06 11:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DAEMON Tools
2008-05-06 02:33 . 2008-05-08 03:51 <DIR> d--h----- D:\Programme\InstallShield Installation Information
2008-05-06 02:31 . 2008-05-06 02:32 <DIR> d-------- D:\Programme\Norton PartitionMagic 8.0
2008-05-06 00:51 . 2008-05-06 00:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DiashowManager
2008-05-06 00:51 . 2008-05-06 00:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Barbecue
2008-05-06 00:51 . 2008-05-06 00:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AquaSoft
2008-05-06 00:50 . 2008-05-06 00:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AquaSoft
2008-05-06 00:06 . 2008-05-31 05:55 <DIR> d-------- D:\Programme\Soulseek
2008-05-05 23:37 . 2008-05-05 23:37 <DIR> d-------- D:\Programme\Lavalys
2008-05-05 22:24 . 2008-05-05 22:24 <DIR> d-------- D:\Programme\utorrent
2008-05-05 22:24 . 2008-06-04 13:02 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent
2008-05-05 22:11 . 2008-06-04 12:59 <DIR> d--h----- C:\$AVG8.VAULT$
2008-05-05 15:46 . 2008-04-14 00:15 26,368 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-05 15:42 . 2008-06-04 14:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\foobar2000
2008-05-05 15:39 . 2008-06-01 12:03 <DIR> d-------- D:\Programme\foobar2000
2008-05-05 15:28 . 2007-11-13 15:48 119,848 --a------ C:\WINDOWS\system32\SilSupp.dll
2008-05-05 15:28 . 2007-11-13 15:48 71,720 --a------ C:\WINDOWS\system32\drivers\PnP680.sys
2008-05-05 15:17 . 2008-05-05 15:17 <DIR> d-------- D:\Programme\microsoft frontpage
2008-05-05 15:01 . 2008-05-05 15:01 2,331,136 --a------ C:\WINDOWS\system32\TUKernel.exe
2008-05-05 14:29 . 2008-05-05 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
2008-05-05 14:29 . 2008-05-05 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-05 14:29 . 2008-05-05 14:29 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-05 14:29 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-05 14:28 . 2008-05-05 15:00 <DIR> d-------- D:\Programme\Tuneup
2008-05-05 14:28 . 2008-05-05 14:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-05 13:03 . 2008-05-07 01:28 168 --a------ D:\Programme\garena.bat
2008-05-05 13:02 . 2008-06-03 22:27 <DIR> d-------- D:\Programme\garena
2008-05-05 13:02 . 2006-03-14 02:26 53,248 --a------ C:\WINDOWS\system32\ImageOle.dll
2008-05-05 13:01 . 2008-05-05 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-05-05 12:54 . 2008-05-06 00:43 158 --a------ D:\Programme\jdownloader.bat
2008-05-05 06:00 . 2008-05-05 06:00 1,169 --a------ C:\WINDOWS\mozver.dat
2008-05-05 05:49 . 2008-05-30 01:29 <DIR> d-------- D:\Programme\BSplayerPro
2008-05-05 05:45 . 2008-05-05 05:47 <DIR> d-------- D:\Programme\Hide Folders XP 2
2008-05-05 05:45 . 2007-01-23 01:26 17,264 --a------ C:\WINDOWS\system32\drivers\hfxp2.sys
2008-05-05 05:42 . 2008-06-04 13:31 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-05-05 05:42 . 2008-05-05 05:42 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-05-05 05:42 . 2008-05-05 05:42 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-05-05 05:41 . 2008-05-05 05:42 <DIR> d-------- D:\Programme\AVGfree
2008-05-05 05:41 . 2008-05-05 05:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-05-05 05:19 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-05 05:18 . 2008-05-05 05:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-05 05:16 . 2008-06-04 01:01 <DIR> d-------- D:\Programme\jdownloader
2008-05-05 03:46 . 2008-05-05 03:46 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-05-05 03:45 . 2008-05-05 03:46 <DIR> d-------- D:\Programme\VLC
2008-05-05 03:33 . 2008-05-05 03:33 4,444 --a------ C:\WINDOWS\system32\pid.PNF
2008-05-05 03:32 . 2008-04-14 08:22 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-05-05 03:32 . 2008-04-14 08:52 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-05-05 03:32 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 16:36 --------- d-----w D:\Programme\QIP
2008-05-05 02:43 --------- d-----w D:\Programme\MozBackup
2008-05-05 02:06 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-05 00:58 392,320 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2008-05-05 00:58 32,768 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2008-05-05 00:58 114,048 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-05-05 00:37 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-14 06:52 76,288 ----a-w C:\WINDOWS\system32\storprop.dll
2008-04-14 05:53 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 05:53 23,552 ----a-w C:\WINDOWS\system32\wdmaud.drv
2008-04-14 05:52 4,096 ----a-w C:\WINDOWS\system32\ksuser.dll
2008-04-14 05:28 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 05:25 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 05:19 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-13 22:49 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 22:47 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 22:46 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 22:45 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 22:15 60,160 ----a-w C:\WINDOWS\system32\drivers\drmk.sys
2008-04-13 22:15 6,272 ----a-w C:\WINDOWS\system32\drivers\splitter.sys
2008-04-13 22:15 56,576 ----a-w C:\WINDOWS\system32\drivers\swmidi.sys
2008-04-13 22:15 52,864 ----a-w C:\WINDOWS\system32\drivers\DMusic.sys
2008-04-13 22:15 49,408 ----a-w C:\WINDOWS\system32\drivers\stream.sys
2008-04-13 22:15 36,864 ----a-w C:\WINDOWS\system32\drivers\hidclass.sys
2008-04-13 22:15 24,960 ----a-w C:\WINDOWS\system32\drivers\hidparse.sys
2008-04-13 22:15 2,944 ----a-w C:\WINDOWS\system32\drivers\drmkaud.sys
2008-04-13 22:15 172,416 ----a-w C:\WINDOWS\system32\drivers\kmixer.sys
2008-04-13 22:15 10,368 ----a-w C:\WINDOWS\system32\drivers\hidusb.sys
2008-04-13 22:09 7,552 ----a-w C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-04-13 22:09 5,376 ----a-w C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-04-13 22:09 4,992 ----a-w C:\WINDOWS\system32\drivers\MSPQM.sys
2008-04-13 22:02 196,224 ----a-w C:\WINDOWS\system32\drivers\rdpdr.sys
2008-04-13 20:09 142,592 ----a-w C:\WINDOWS\system32\drivers\aec.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hfxp"="D:\Programme\Hide Folders XP 2\hfxp.exe" [2007-06-21 19:51 94096]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 17:07 1828136]
"DAEMON Tools Lite"="D:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-20 21:07 7110656]
"nwiz"="nwiz.exe" [2005-07-20 21:07 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-20 21:07 86016]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 16:28 790528]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"AVG8_TRAY"="D:\PROGRA~1\AVGfree\avgtray.exe" [2008-05-05 05:42 1177368]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 02:17 55824 C:\WINDOWS\KHALMNPR.Exe]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - D:\Programme\Logitech\SetPoint\SetPoint.exe [2008-05-08 13:32:11 789008]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2008-01-09 12:30 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\AVGfree\\avgupd.exe"=
"D:\\Programme\\utorrent\\utorrent.exe"=

R0 HFXP2;HFXP2;C:\WINDOWS\system32\DRIVERS\HFXP2.SYS [2007-01-23 01:26]
R0 Pnp680;SiI 680 ATA Controller;C:\WINDOWS\system32\DRIVERS\pnp680.sys [2007-11-13 15:48]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-05-05 05:42]
R2 avg8wd;AVG8 WatchDog;D:\PROGRA~1\AVGfree\avgwdsvc.exe [2008-05-05 05:42]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-05 14:29]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 14:32:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-04 14:32:53
ComboFix-quarantined-files.txt 2008-06-04 12:32:48
ComboFix2.txt 2008-06-04 12:24:29

5 Verzeichnis(se), 9,502,609,408 Bytes frei
8 Verzeichnis(se), 9,494,212,608 Bytes frei

233

markusg · 04.06.2008, 13:56

* Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
Malwarebytes.org
- 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.[/QUOTE]

hempsoldier · 04.06.2008, 19:44

So der Scan hat ziemlich lange gedauert, aber es wurden 3 Trojan.Agents gefunden. Vielleicht kann ja jemand von euch noch was dazu sagen. Nochmal vielen Dank für die sehr schnelle Hilfe. Das Board kann man nur weiterempfehlen!

Hier das Logfile:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 821

20:37:59 04.06.2008
mbam-log-6-4-2008 (20-37-59).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|X:\|Z:\|)
Objekte gescannt: 160474
Scan Dauer: 2 hour(s), 55 minute(s), 46 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
D:\Programme\BSplayerPro\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Progs Install\nerofragezeichenKeygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
X:\Directlinks\BS.Player.Pro.v2.27.959.Multilingual.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

markusg · 05.06.2008, 07:18

hiermit werde ich meinen suport beenden! du nutzt keygens und da solltest du dich nicht wundern.
Außerdem ist es illegal und ich möchte keinerlei probleme bekommen durch weiteren suport.
ich geb dir abschließende tipps.
wenn du software nutzt bei der du dir net sicher bist ob sie vertrauenswürdig ist,
Prüfe sie bei virus total.
Du solltest (um deine sicherheit stark zu erhöhen) alle vier wochen die seite vo nmicrosoft besuchen und winupdates durchführen.
weiterhin die seite von secunia dort bekommst du updates für den rest deiner software.
mache am besten ncoh onlinescans mit kaspersky und f-secure.

System befallen oder nicht?

Log-Analyse und Auswertung: System befallen oder nicht?