Hay,
als ich heute bei TuneUp im StartManager nachguckte, sah ich das von meinem PC das Programm scvhost.exe von Windoof mitgestartet wurde.
So, das es ein wohl ziehmlich fieser Virus ist weis ich, doch jetzt zum eigendlichem Teil....:
In den Logs der ComodoFirewall wurde das Programm permanent geblockt=kein Internet zugriff.
1)Kann ich nun einfach die exe löschen, was hängt noch mit dem Programm zusammen?
2)Habe ich etwas zubefürchten, muss ich sogar formatieren, Passwörter ändern?

danke schon mal

scvhorst?scvhost?svchost?

Wie heißt die Datei richtig und im welchen Ordner befindet sie sich?

Erstelle bitte ein Log mit HijackThis und poste es hier.

lg myrtille

scvhost.exe heißt sie


Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:21:53, on 11.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Comodo\Firewall\cmdagent.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\oodag.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\RTHDCPL.EXE
E:\Programme\Comodo\Firewall\CPF.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Microsoft IntelliPoint\ipoint.exe
D:\WINDOWS\system32\rundll32.exe
E:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Microsoft IntelliPoint\dpupdchk.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
D:\WINDOWS\scvhost.exe
E:\Programme\Trillian\trillian.exe
e:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
e:\Programme\Vidalia Bundle\Tor\tor.exe
E:\Programme\TuneUp Utilities 2007\StartUpManager.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\iTunes\iTunes.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\distnoted.exe
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\HiJackthis\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - D:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "E:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [IntelliPoint] "D:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Vidalia] "e:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - E:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - e:\Programme\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - D:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 5947 bytes

befindet sich in D:\Windows\scvhost.exe

den Autostart Eintrag habe ich bereits deaktiviert.

Könnte ich den Eintrag bitte mal sehen?

Erstell bitte ein Log mit Combofix: Anleitung

lg myrtille

Also das Combofix ist ja mal ein mächtiges Programm..hat doch glatt den Windoof Internetexplorer als Standart zurück gestellt.... .
So hier ist das LogFile:

ComboFix 08-06-10.5 - Admin 2008-06-11 17:47:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1461 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\scvhost.exe
D:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-11 bis 2008-06-11 ))))))))))))))))))))))))))))))
.

2008-06-11 14:38 . 2008-06-11 16:50 <DIR> d-------- D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Vidalia
2008-06-11 14:38 . 2008-06-11 15:55 <DIR> d-------- D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\tor
2008-06-02 21:50 . 2008-06-02 21:50 <DIR> d-------- D:\Programme\Creative
2008-06-02 21:50 . 2003-01-07 15:22 139,264 --a------ D:\WINDOWS\system32\eax.dll
2008-05-23 01:37 . 2008-05-23 01:37 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Insight Software Solutions
2008-05-23 01:37 . 2008-05-23 01:37 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Insight Software Solutions
2008-05-23 00:13 . 2008-05-23 00:13 332 --a------ D:\WINDOWS\ST6UNST.004
2008-05-23 00:10 . 2007-11-18 13:09 3,908,825 --------- D:\WINDOWS\Recorder.CAB
2008-05-23 00:10 . 2004-03-08 23:00 224,016 --a------ D:\WINDOWS\system32\TABCTL32.OCX
2008-05-23 00:10 . 2004-03-08 23:00 152,848 --a------ D:\WINDOWS\system32\COMDLG32.OCX
2008-05-23 00:10 . 1998-09-01 01:09 140,800 --a------ D:\WINDOWS\system32\DWSHK36.OCX
2008-05-23 00:10 . 1998-10-09 12:02 75,776 --a------ D:\WINDOWS\system32\DWSPY36.dll
2008-05-23 00:10 . 1998-06-23 23:00 67,376 --a------ D:\WINDOWS\system32\SYSINFO.OCX
2008-05-23 00:10 . 2002-12-24 22:35 57,344 --a------ D:\WINDOWS\system32\TaskScheduler.dll
2008-05-23 00:10 . 2005-05-27 00:22 10,752 --a------ D:\WINDOWS\system32\hh.exe
2008-05-23 00:10 . 2008-05-23 00:10 2,866 --a------ D:\WINDOWS\ST6UNST.003
2008-05-23 00:10 . 2008-05-23 00:10 303 --a------ D:\WINDOWS\ST6UNST.002

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-02 20:37 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-05-22 22:13 73,216 ----a-w D:\WINDOWS\ST6UNST.EXE
2008-05-21 19:53 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\teamspeak2
2008-04-19 23:32 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Befree4iPhone
2008-04-19 21:41 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Azureus
2008-04-11 15:33 --------- d-----w D:\Programme\iPod
2008-04-11 15:32 --------- d-----w D:\Programme\QuickTime
2008-04-11 15:32 --------- d-----w D:\Programme\Bonjour
2008-04-11 12:14 --------- d-----w D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Apple Computer
2008-03-22 15:39 286,720 ------w D:\WINDOWS\Setup1.exe
2001-03-28 11:02 122,880 ----a-w D:\WINDOWS\inf\Agfa\message.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="e:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 23:49 12889088]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="E:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-08 08:42 14565376 D:\WINDOWS\RTHDCPL.EXE]
"COMODO Firewall Pro"="E:\Programme\Comodo\Firewall\CPF.exe" [2007-07-24 22:09 1115728]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35 327720]
"zBrowser Launcher"="D:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2004-12-09 02:11 5423104]
"nwiz"="nwiz.exe" [2004-12-09 02:11 1490944 D:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2004-12-09 02:11 86016]
"NVCLOCK"="nvclock.dll" [2003-04-14 03:59 81920 D:\WINDOWS\system32\nvclock.dll]
"IntelliPoint"="D:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 13:01 1037736]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= e:\Programme\t@b\0.958\686\tabdec.dll
"vidc.444p"= e:\Programme\t@b\0.958\686\tabdec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="D:\Programme\Messenger\msmsgs.exe" /background
"MsnMsgr"="D:\Programme\MSN Messenger\msnmsgr.exe" /background
"STYLEXP"=D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
"SpySweeper"="E:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
"zweitgeist Assistant"="e:\Programme\weblin\weblinAssistant.exe"
"Simplify Media"="D:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Simplify Media\SimplifyMedia.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe"
"High Definition Audio Property Page Shortcut"=HDAShCut.exe
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"ICQ Lite"="E:\Programme\ICQLite\ICQLite.exe" -minimize
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"ATICCC"="D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
"Windows UDP Control Center"=scvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\Programme\\Bonjour\\mDNSResponder.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"E:\\Programme\\UltraVNC\\vncviewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800

R2 UxTuneUp;TuneUp Designerweiterung;D:\WINDOWS\System32\svchost.exe [2002-12-31 14:00]
R3 VGAUTI;VGAUTI;D:\WINDOWS\system32\DRIVERS\VGAUTI.sys [2004-12-22 07:44]
S3 G6FTPServer;Gene6 FTP Server;"e:\Programme\Gene6 FTP Server\G6FTPSERVER.EXE" [2004-01-01 02:01]
S3 PCASp50;PCASp50 NDIS Protocol Driver;D:\WINDOWS\system32\Drivers\PCASp50.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-06 15:15:00 D:\WINDOWS\Tasks\1-Klick-Wartung.job"
- E:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-06-07 17:29:00 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- D:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-06-11 15:00:00 D:\WINDOWS\Tasks\XoftSpySE 2.job"
- E:\Programme\XoftSpySE\XoftSpy.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 17:49:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NVCLOCK = rundll32 nvclock.dll,fnNvclock??????????????????????????????????????N???d??????????w???w????d??????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 17:49:37
ComboFix-quarantined-files.txt 2008-06-11 15:49:30

6 Verzeichnis(se), 568,827,904 Bytes frei
8 Verzeichnis(se), 1,792,847,872 Bytes frei

137

Hi,
ja Combofix ist ein mächtiges Tool, allerdings geht das gelegentlich auf Kosten von solchen Einstellungen, sowas lässt sich aber in der Regel leicht zurückzustellen.

Zitat:

D:\windows\setup1.exe

lass die Datei bitte mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myritlle

Hier das Ergebnis:

Datei Setup1.exe empfangen 2008.04.18 09:14:17 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.18.0 2008.04.18 -
AntiVir 7.6.0.85 2008.04.18 -
Authentium 4.93.8 2008.04.17 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.17 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.17 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.17 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.17 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.17 -
Ikarus T3.1.1.26.0 2008.04.18 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5276 2008.04.17 -
Microsoft 1.3408 2008.04.18 -
NOD32v2 3036 2008.04.18 -
Norman 5.80.02 2008.04.16 -
Panda 9.0.0.4 2008.04.18 -
Prevx1 V2 2008.04.18 -
Rising 20.40.40.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.17 -
Webwasher-Gateway 6.6.2 2008.04.18 -
weitere Informationen
File size: 286720 bytes
MD5...: e40041e0ca436c712332edaa9db7df08
SHA1..: deb8ead922f4f1acbadebf0db998f6ba2dc53db0
SHA256: 6a15b76e1526e1fd6ebaecacc59c3e954d0feb0b566c81538ea6dad2edcffe16
SHA512: 1111be364c3d81dc919d1e7ba7bd141cda6555844d889f00a2b2cb0ee5c19bd0
b122ae4b574a3cdfa268668eebec43fa265b44e1b8fa28faaa335824647b8bc2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403ea0
timedatestamp.....: 0x358c54e7 (Sun Jun 21 00:33:43 1998)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3d7e0 0x3e000 6.02 bb300a203cd66e00982fd611b38c233b
.data 0x3f000 0x54c8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x45000 0x5948 0x6000 3.37 8ebf3f5e1072a20eae63c58aa0d91ab2

( 1 imports )
> MSVBVM60.DLL: __vbaVarTextTstLe, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLineInputStr, __vbaGosubReturn, -, __vbaStrVarMove, __vbaLenBstr, -, -, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaCopyBytes, __vbaResume, __vbaStrCat, __vbaLsetFixstr, -, __vbaVarTextTstEq, __vbaSetSystemError, __vbaRecDestruct, __vbaNameFile, __vbaHresultCheckObj, __vbaLenVar, _adj_fdiv_m32, -, __vbaAryDestruct, __vbaLateMemSt, -, __vbaForEachCollObj, __vbaBoolStr, __vbaExitProc, __vbaFileCloseAll, -, __vbaCyAdd, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, __vbaBoolVar, -, __vbaForEachCollVar, __vbaStrTextCmp, -, __vbaBoolVarNull, _CIsin, -, __vbaErase, __vbaVarCmpGt, __vbaLateMemStAd, __vbaNextEachCollObj, -, -, __vbaVarZero, __vbaChkstk, __vbaGosubFree, __vbaFileClose, -, EVENT_SINK_AddRef, -, -, __vbaGenerateBoundsError, __vbaStrCmp, __vbaCyI2, -, __vbaCyI4, __vbaObjVar, __vbaNextEachCollVar, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, __vbaVarTextTstNe, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaFpCmpCy, __vbaVarTextCmpEq, __vbaVarMul, __vbaExceptHandler, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, __vbaGosub, -, __vbaI2Str, __vbaVarDiv, -, -, -, __vbaFPException, __vbaInStrVar, -, -, __vbaStrVarVal, __vbaUbound, -, -, __vbaVarCat, __vbaDateVar, __vbaI2Var, -, -, -, _CIlog, -, __vbaErrorOverflow, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, -, __vbaCyMulI2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, __vbaDerefAry1, __vbaVarTextTstGt, _adj_fdivr_m32, __vbaPowerR8, -, _adj_fdiv_r, -, -, -, -, __vbaI4Var, __vbaAryLock, __vbaLateMemCall, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI2, -, __vbaFpI4, __vbaVarCopy, __vbaVarLateMemCallLd, -, __vbaLateMemCallLd, _CIatan, -, __vbaStrMove, __vbaCastObj, __vbaStrVarCopy, -, -, _allmul, __vbaLenVarB, __vbaLateIdSt, -, __vbaVarTextCmpNe, _CItan, -, __vbaAryUnlock, __vbaFPInt, _CIexp, __vbaMidStmtBstr, -, __vbaFreeStr, __vbaFreeObj, -

( 0 exports )
Bit9 info: http://fileadvisor.bit9.com/services...32edaa9db7df08


PS:Unter Eigenschaften des Programms stand :Visual Basic 6.0 Setup Toolkit , von da her eh kein Virus, da ich das Programm auch mal instaliert hatte.

Hi,
das Logfile sieht soweit sauber aus.

Erstell bitte sicherheitshalber noch ein Log mit einem der folgenden Tools:
Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Wenn das Log sauber ist, denk ich wars das.

lg myrtille

So die Logfiles kommen zwar etwas spät aber egal

____________________________________________________________________________________
____________________________________________________________________________________

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-14 19:27:20
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwEnumerateKey [0xF750584E]
SSDT sptd.sys ZwEnumerateValueKey [0xF7505BEE]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89B971D8

AttachedDevice \Driver\Tcpip \Device\Ip cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdmon.sys (Comodo Application Engine driver/Comodo Research Lab., Inc.)

---- EOF - GMER 1.0.14 ----

____________________________________________________________________________________
____________________________________________________________________________________

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-14 19:35:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:6d3f1729
"s2"=dword:f7fb862f
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="E:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e9,46,d3,87,96,9f,4c,d3,65,87,8a,dd,20,45,fd,66,ee,de,a7,36,79,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,9d,89,ab,1c,7a,e9,0b,28,a5,bc,a1,1d,8b,f3,5c,a7,e3,..
"khjeh"=hex:df,0e,fe,79,73,41,ab,30,fa,46,a8,dd,5f,34,54,ad,52,d9,cf,00,6c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b9,21,b9,82,6a,af,f4,21,02,21,84,3a,89,45,57,0a,c4,41,69,d6,64,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="E:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e9,46,d3,87,96,9f,4c,d3,65,87,8a,dd,20,45,fd,66,ee,de,a7,36,79,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,9d,89,ab,1c,7a,e9,0b,28,a5,bc,a1,1d,8b,f3,5c,a7,e3,..
"khjeh"=hex:df,0e,fe,79,73,41,ab,30,fa,46,a8,dd,5f,34,54,ad,52,d9,cf,00,6c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b9,21,b9,82,6a,af,f4,21,02,21,84,3a,89,45,57,0a,c4,41,69,d6,64,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D\n\21]
"DisplayName"="\xb973\x778f"
"DeviceDesc"="\xb973\x778f"
"ProviderName"="\x27fc\21\xee18\x7c91\x286c\21\b"
"MFG"="\xc1bf\b\xe12b\x1803\x534"
"ReinstallString"=".10.1000.5"
"DeviceInstanceIds"=str(7):"g:\ati\rs480\sbdrv\smbus\smbusati.inf"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="FB7D42CE383526AB21C4BFF7FE9AC6DCC5D889F629772D86305672597BB5EC7CBE273581096BE349F2D4F8244319FCCF93B3628AA6391442D8CD 33316D925A58A73082AC587054E7E878FBE003975F415F3F320D4E97D3DE99C880A44E62276BF209FEF15EBD2D0C1E7B87FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC 9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A2D97226D213B5558EDD5E5BE2F6E667A9C6AECB7A5D140772CE0CFC0B6E4D382E1A5E55C6D0BE198644C761CE A61703DBC781F4A472CA43C8C0F1AEFDE2C48C4BF3982F96EDC179BDE0CA66CE636B9D1A6F41EA9D25D6269B20F26751DDC1121FD5C2161D5429F0E02AFBC77D4831B280579B7EE662D20E DEABF21B47316776C18F101752367814CE20F9CBA88867DFD3D03D4FC480DC435DA44B62B8F4134723F4A5E1C48DE8DC3DC656DBB39EC3292C3044228C98C56FB4D2C6F79204D27B065D9A CC1595E3A8B1A6980694472EF576D0C3DA2B091323D60126BBD37E67E901A5FD4F79CE8A39894EB97D5483C30EF30F43861FF3FED188FB1C329246C9CE7EAB50873AFDAF33744BA7951399 55A0B9CD3DD37B4076D1659952047583234CBDD385B5B4A95A20F5B5C4CA8190E5C03071A093E7171BDF59ADE4FA39A0D2655206083ED99FC5EE65A26739E6B630E4136450BFA067429A27 156189AECC6A82A0AD342B30EE63EE6F3258A39D9E9E667594A4717363F585E32CCE41397B30F0E53A5B29506C55D59203D76F929AD384B9F267E74300F308FA5724DB52E3A0DEB09F4209 E72FF2BEA33995274AC6A1E11AF5D88589F82DED287C4C3405026764E155223FB7944926CA7FB878D8FC13042316AA52CF4BC7E57F86A8CAF113E9F6B15727E4943D16EB02815B35E961E3 5634D18478B6B91C0464638C434E9BBCF3AAA5F3B6680B4DD71BEE8BD13BD783A6042A80C6EFC938BE120741E3E1E12B9B2CC21C16B0A8971238FD4AEA9E0918279B26AF3043465E7394E7 019B88F1B3126837AA88FE804F2752668EBCFB63F8ED56CD13CB0C3D835FD07F7C78329A8861650E1A357643048AB465C22ACB1734F6E3B0A355BA80D0A6F9CCD730E3EE11737ED7DCE9D3 E4F8907FBBC3B81D99881F4CDDC92AD027A4D11A54AB97B546661B63A65798611EA772A5AC659192A46BA9E6EC66CE668A104A909A03AC54BB580A161463D3026A39CDEE02EA0362B384BC 5F774D68A6C858618DAA5F0F7F2DE85B6D3A4DD62A8A8FA47908907E550AB163B71AC24351C3F749179332030BBFCE8993BA567C63033BDB3190051C4CAB828A447704CCB8A29B190767E5 EEDF5A74F509B633C7CB1B073C5D6E6792B761BC852D35401AC5CEA44D0DBD56DF7A2878659ED68D5C135F6BF314FBCFC21EB8D60A717C9860F176A9452831D1866B"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000014
"TracesSuccessful"=dword:0000000d
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CA8CB282-1AD1-CB03-138F-53B28B02610F}]
"nafelemdpobicmbgedgklhbnnmng"=hex:6a,61,62,70,70,6a,69,62,69,6d,6a,6b,69,68,64,70,64,6a,66,64,00,..
"mahbfejecfnjdlajnkjlcnjfmb"=hex:6a,61,62,70,70,6a,69,62,69,6d,6a,6b,69,68,64,70,64,6a,66,64,00,..

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


____________________________________________________________________________________
____________________________________________________________________________________

RootkitReveal = nix