Guten Tag,

Wie ich vor kurzem festgestellt habe ist mein Computer infiziert... Trojanische Pferde, Würmer...das volle Programm...und ich weiß um ehrlich zu sein auch nicht, wie sie auf meinen Rechner gekommen sind.
Ich habs erst mitgekommen, als ich Counter Strike spielen wollte, jedoch ich nicht in den Online-Modus wechseln konnte.

Mein Betriebssystem: Windows XP (neuste Updates etc.)
Auch habe ich einen Antivirus (Norton). Allerdings hat er nie etwas gemeldet.
Ich hab Adaware durchlaufen lassen. Der hat ne "Malware" gefunden und sie auch "gelöscht", was ich aber bezweifle...
Auch ist mir aufgefallen, dass mein Computer ziemlich lange zum Hochfahren braucht.

Dann hab ich "Avast" installiert...hat ziemlich viel gefunden...auch gelöschst..
Wie ich gerade eben gelesen habe, ist es ein Fehler sie zu löschen..besser in Quarantäne verschieben etc.

Avast ha tmir auch nicht weitergeholfen. Hab es deinstalliert
Und AntVir installiert...hab es geupdated...lass es gerade durchlaufen..

Dauernd kommt ne Meldung, dass er ein Trojanisches Pferd gefunden hat:

C:\WINDWOS\system32\nnnnlLfd.dll
Trojanisches Pferd TR/Vundo.Gen

Egal ob ich auf Quarantäne drücke, Löschen, Zugriff verweigern..die Meldung kommt immer wieder.

Gerade eben kam wieder eine Meldung, selbes Trojanisches Pferd, aber anderer Pfad:

C:\WINDWOS\system32\byXOgdab.dll

davor kamen auch andere Meldungen, irgendetwas mit "Worm".
Ich editiere später meinen Beitrag und trage die ganzen Viren ein, die dann AntiVir gefunden hat, sobald die Suche beendet wurde.

Was noch erwähnenswürdig ist..Ich habe einen Router, den habe ich aber sozusagene in bisschen "Entkräftet"..heißt die Firewall einstellungen runtergeschraubt. Da man sonst bestimmte Spiele nicht online spielen konnte. Hätte die Ports freimachen müssen..aber dmait kenn ich mich auch wiederrum nicht aus...

Schon wieder einen Fund: TR/ATRAPS.Gen

Alles sehr merkwürdig...Wie ihr bereits seht, bin ich nicht wirklich der Computerspezialist...wäre ich einer, hätte ich hier nicht den Beitrag erstellt.

Hoffe ihr könnt mir weiterhelfen, meinen Computer zu säubern.

MFG
SoulRunner

Edit: Hier der Report

Hier noch aus der Quarantäne:
WORM/SaveNow.A.454096

C:\SystemVolumeInformation\_restore{"komische Zahlen und ziemlich lang"}\RP121\A0025122.exe

Dann noch der Trojaner:

TR/Vundo.Gen

C:\WINDWOS\system32\nnnnlLfd.dll <- Wird ca. 22x angezeigt
C:\WINDWOS\system32\byXOgdab.dll
C:\ARK1b.tmp <- 2x angezeigt
C:\WINDWOS\system32\byXPGAss.dll <- 2x angezeigt

gerade kam wieder ne Meldung: Selber Trojaner,aber anderer Pfad

C:\Dokumente und Einstellungen\"xxx"\...\blhljwnl.dll
C:\Dokumente und Einstellungen\"xxx"\...\gcstcyvj.dll
C:\Dokumente und Einstellungen\"xxx"\...\kb767887[1]
C:\Dokumente und Einstellungen\"xxx"\...\tydqanfb.dll
Uff...ich werd noch verrückt...
ps: Wenn ich den Pc neustarte, werden die Automatischen Windows Updates Deaktiviert...Ich muss sie dann immer manuell wieder aktivieren...

Edit2:

Ooookay..jetzt wirds gruselig...es öffnet sich automatisch ein Internet Fenster..Vista Antivurs 2008...scannt dann durch...20sek oder so..und meint er hätte diese Viren auf meinem Pc gefunden:

Backdoor:Win32/NTRoot
Backdoor:Win32/Sivuxa
Trojan.Caiijing

Jetzt öffnet sich schon wieder ein Fenster.. "Antivirus2009"
und findet folgendes:
SpywareIE.Monster.B
Zlob.Advertiser.xplisit
Tojan.InfoStealer.Banker.s

Hilfe..

Tut mir leid für die Doppelpost, aber ich konnte meinen Beitrag nicht mehr editieren (Vllt. weil ich es shcon zu oft getan hab?!?!?)

Es gibt Neuigkeiten...ein neuer trojaner wurde gefunden:

TR/Peed.JLG.36

C:\Dokumente und Einstellungen\"xxx"\Lokale Einstellungen\Temp\5djv1teb.exe
C:\Dokumente und Einstellungen\"xxx"\Lokale Einstellungen\Temp\dgeeu9de.exe
C:\Dokumente und Einstellungen\"xxx"\Lokale Einstellungen\Temp\6hx3y4hs.exe
C:\Dokumente und Einstellungen\"xxx"\Lokale Einstellungen\Temp\z6kpwki9.exe

Edit1: Hijack im Anhang!

Hi,

bitte Combofix, VirtmundoToBeGone und MAM downloaden, MAM installieren und updaten, dann offline gehen (downloadlinks unten).

Vorher bitte noch das hier online prüfen lasse und Ergebnis posten:
C:/DOKUME~1/Achilles/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:

C:/DOKUME~1/Achilles/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

VirtmundoToBeGone
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Downloaden und im abgesicherten Modus ausführen...!
Das Log findest Du auf dem Desktop!

Danach bitte MAM scannen lassen:
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Poste die Logs und ein neues HJ-Log;

chris

Sooo, sorry, dass ich erst so spät antworte...hab alles gemacht, was Sie gesagt haben.
Auch hat alles wunderbar geklappt.
Nur...bevor Sie diesen Beitrag geschrieben haben...nun ja ich war etwas zu voreilig und habe aus Raserei diesen Ordner

"C:/DOKUME~1/Achilles/LOKALE~1/Temp/"

gelöscht..also seinen gesamten Inhalt...hoffe mein Fehler ist nicht all zu schwerwiegend gewesen... =/

Hier Die Logs...hoffe wir kommen bei meinem Problemchen weiter...

Ma ne Frage..ist es sehr gravierend, was ich mir eingefangen habe?
Und haben Sie vielleicht eine Ahnung wie das passieren konnte?
Hab jetzt AntiVir und Norton drauf. Sollte ich Norton entfernen und nur Antvir drauf lassen oder gibt es ne andere, besser Möglichkeit, meinen Rechner zu schützen?

Ich bedanke mich nochmal

Hi,

wäre interessant gewesen, ob in den Pic/gif was erkannt wurde.
Die Logs sind sauber, allerdings haben sich die Sachen in der Systemwiederherstellung eingenistet 8s. Log von MAM);

Folgende Einträge mit HJ fixen:
Hijackthis, fixen:
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Achilles/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOKUME~1/Achilles/LOKALE~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/Achilles/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

Danach CCleaner:
http://www.ccleaner.com/ccleaner-20
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

Systemwiederherstellung löschen:
http://www.systemwiederherstellung-d...indows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Das sollte es dann gewesen sein...

chris

Vielen vielen Dank!!!
Pc startet schneller neu und die Windows firewall schaltet sich nicht mehr automatisch ab ^^
CCleaner hat 90 sachen gelöscht.
Allerdings startet Steam immer noch nicht ^^.
Vllt neu installieren?
Sollte ich nochn Check mit ein paar Programmen machen?
Und wie kann ich sowas in Zukunft vermeiden?

Hi,

installiere Steam neu, wenn die Firewall wieder läuft kann das auch Auswirkungen haben...

Ein recht guter Scanner (und nur Scanner) ist PrevX:
http://www.prevx.com/freescan.asp

Um zu verhindern das sowas wieder vorkommt:
- Windows immer up-ot-date halten
- alternativen Browser verwenden (Firefox 3.01. mit NoScrip und Dr. Web-Plugin)
- eingeschränktes Nutzerkonto anlegen und mit dem surfen
- richtige Firewall wie z. B. zonealarm installieren
- Scanner mit RealtimeGuard verwenden
- Firefox in einer Sandbox laufen lassen (z. B. www.sandboxie.com)
und
- nicht auf alle Links klicken, nicht jeden Anhang öffnen
- Programme nur aus sauberen Quellen installieren
etc.

chris

Guut danke für die Tips. Hab den PrevX runtergeladen und installiert. hat nix geunden scheint also Clean zu sein.
Die Scripts für Firefox hab ich auch installiert sowie Sandboxie.
Ich denke, dass ich Zonealarm nicht brauchen werde, da ich doch einen Router hab (Korrigier mich, falls ich falsch liege ^^ )

So, hab den Avira AntiVir auf "aggressives verhalten" umgestellt, so wie es im FAQ stand.
Somit wird jetzt die Datei Virtumonde.exe immer angeblingt von wegen Warnung etc.
Soll ich die Datei jetzt einfach Löschen? Ich mein Bösartig ist sie ja nicht.

Auerdem hab ich Norton drauf. Deinstallieren oder?

Vielen Dank nochmal

Hi,

wenn sich Norton und Avira nicht gegenseitig stören und die Performance ok ist...

Combofix entfernen:
Start->Ausführen, dann combofix /u reinschreiben und OK drücken...

Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren


Bye and out,
chris

Danke danke ^^

Hi,

dann schauen wir mal...

DSS:
Download dss zum Desktop (http://www.techsupportforum.com/sectools/Deckard/dss.exe)
Schliesse alle Anwendungen und Doppelklicke dss.exe
Während DSS läuft, keine anderen Aktionen ausführen!
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

Weiterhin prüfen wir die Internetverbindung:
Alle Anwendungen die irgendwas mit dem Internet tun soweit möglich beenden (Browser, etc.).

TCPView
Anzeige der vom Rechner aufgebauten Internetverbindungen mit Status, Zieladresse etc.
Lege ein Verzeichnis an, entpacke die Dateien in das Verzeichnis und starte dann die tcpview.exe. Copyright und Co abnicken.
Das Log kann unter "File", "Save as.." abgespeichert werden, in den Editor laden abkopieren und hier posten.
Download: http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Anleitung: http://www.it-techblog.de/sysinternals-die-besten-utilities-3-tcpview/01/2007/

chris

Okay, hab die Logs erstellt.
ps: 1 zu groß um sie anzuhängen, deswegen muss ich es hier rein posten.

main.txt:


Deckard's System Scanner v20071014.68
Run by Achilles on 2008-08-08 10:58:01
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 4 Restore Point(s) --
4: 2008-08-08 08:58:07 UTC - RP4 - Deckard's System Scanner Restore Point
3: 2008-08-07 23:46:52 UTC - RP3 - Software Distribution Service 3.0
2: 2008-08-07 19:10:01 UTC - RP2 - Systemprüfpunkt
1: 2008-08-06 09:30:49 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Achilles.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:59:27, on 08.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\lxddcoms.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Achilles\Desktop\dss.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\DOKUME~1\Achilles\Desktop\Virus\Achilles.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXDDCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 9404 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 pxark - c:\windows\system32\drivers\pxark.sys <Not Verified; Prevx; Prevx CSI>
R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys <Not Verified; Protection Technology; StarForce Protection System>
R1 ISODrive (ISO DVD/CD-ROM Device Driver) - c:\programme\ultraiso\drivers\isodrive.sys <Not Verified; EZB Systems, Inc.; ISODrive>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R3 SbieDrv - c:\programme\sandboxie\sbiedrv.sys <Not Verified; tzuk; Sandboxie>

S3 EagleNT - c:\windows\system32\drivers\eaglent.sys (file missing)
S3 TVICHW32 - c:\windows\system32\drivers\tvichw32.sys <Not Verified; EnTech Taiwan; TVicHW32 Generic Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
S3 XDva020 - c:\windows\system32\xdva020.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal - Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 SbieSvc (Sandboxie Service) - c:\programme\sandboxie\sbiesvc.exe <Not Verified; tzuk; Sandboxie>

S3 ServiceLayer - "c:\programme\gemeinsame dateien\pcsuite\services\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>
S4 CLCapSvc (CyberLink Background Capture Service (CBCS)) - "c:\programme\cyberlink\powercinema\kernel\tv\clcapsvc.exe" <Not Verified; ; CLCapSvc Module>
S4 CLSched (CyberLink Task Scheduler (CTS)) - "c:\programme\cyberlink\powercinema\kernel\tv\clsched.exe" <Not Verified; ; CLSched Module>
S4 CyberLink Media Library Service - "c:\programme\cyberlink\powercinema\kernel\clml_ntservice\clmlserver.exe" <Not Verified; Cyberlink; Cyberlink Media Library Server>
S4 iPod Service (iPod-Dienst) - c:\programme\ipod\bin\ipodservice.exe (file missing)
S4 StarWindServiceAE (StarWind AE Service) - c:\programme\alcohol soft\alcohol 120\starwind\starwindserviceae.exe <Not Verified; Rocket Division Software; StarWind Alcohol Edition>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-08-08 10:51:58 498 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job
2008-08-01 20:21:11 592 --a------ C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - Achilles.job
2008-06-20 09:10:01 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-07-08 and 2008-08-08 -----------------------------

2008-08-05 13:19:56 0 d-------- C:\Sandbox
2008-08-05 13:19:09 0 d-------- C:\Programme\Sandboxie
2008-08-05 13:10:33 17408 --a------ C:\WINDOWS\system32\drivers\pxark.sys <Not Verified; Prevx; Prevx CSI>
2008-08-05 13:10:32 0 d-------- C:\Programme\PrevxCSI
2008-08-05 11:30:09 0 d-------- C:\Programme\CCleaner
2008-08-04 20:41:07 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-04 13:33:17 0 d-------- C:\Programme\Avira
2008-08-03 21:06:03 0 d-------- C:\Programme\Alwil Software
2008-08-03 18:09:15 0 d-------- C:\Programme\Activision
2008-08-03 15:18:07 0 d-------- C:\Programme\Enigma Software Group
2008-08-03 14:34:05 0 d-------- C:\Programme\Sierra Entertainment
2008-08-03 02:55:56 0 d-------- C:\Programme\DreamCatcher
2008-07-25 10:34:54 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-07-25 10:34:52 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-07-25 10:34:42 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-07-25 10:34:40 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-07-25 10:34:40 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-07-25 10:34:40 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®>
2008-07-25 10:34:36 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-07-23 18:50:52 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 18:46:38 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:39:16 587776 --a------ C:\WINDOWS\WLXPGSS.SCR <Not Verified; Microsoft Corporation; Windows Live Fotogalerie>
2008-07-16 13:32:46 23600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS <Not Verified; EnTech Taiwan; TVicHW32 Generic Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
2008-07-11 18:45:51 0 d-------- C:\Programme\Steam


-- Find3M Report ---------------------------------------------------------------

2008-08-08 10:59:36 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-08 10:51:51 0 d-------- C:\Programme\Gemeinsame Dateien
2008-08-07 11:35:29 0 d-------- C:\Programme\Lx_cats
2008-08-05 21:55:01 0 d-------- C:\Programme\DivX
2008-08-05 13:27:01 0 d-------- C:\Programme\TibiaBot NG
2008-08-05 13:26:11 0 d--h----- C:\Programme\InstallShield Installation Information
2008-08-04 20:41:12 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\Malwarebytes
2008-08-03 23:41:35 0 d-------- C:\Programme\Wecker 2.2
2008-08-02 16:42:22 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\DivX
2008-07-31 09:55:32 12594 --a------ C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\wklnhst.dat
2008-07-25 16:39:32 0 d-------- C:\Programme\Tibia
2008-07-25 16:39:17 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\Tibia
2008-07-22 14:11:28 0 d-------- C:\Programme\Lavasoft
2008-07-22 14:11:21 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-11 18:23:16 0 d-------- C:\Programme\Movie Maker
2008-07-08 23:51:42 0 d-------- C:\Programme\ATI Technologies
2008-07-08 15:24:03 0 d-------- C:\Programme\ICQToolbar
2008-07-07 22:34:34 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\BSplayer
2008-07-07 16:59:37 0 d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-06 02:06:47 0 d-------- C:\Programme\Gameforge4D
2008-07-04 19:38:42 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\BSplayer Pro
2008-07-04 19:38:40 0 d-------- C:\Programme\Webteh
2008-07-04 19:31:53 0 d-------- C:\Programme\DVDVideoSoft
2008-07-02 23:23:12 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\Hamachi
2008-07-02 22:21:04 0 d-------- C:\Programme\Hamachi
2008-06-23 20:51:52 0 d-------- C:\Dokumente und Einstellungen\Achilles\Anwendungsdaten\teamspeak2
2008-06-18 22:00:58 0 d-------- C:\Programme\ICQ6
2008-06-09 15:36:31 0 d-------- C:\Programme\Lavalys
2008-06-02 21:05:00 593920 -----n--- C:\WINDOWS\system32\ati2sgag.exe <Not Verified; ; ATI Smart>
2008-05-09 00:29:47 1274 --a------ C:\WINDOWS\mozver.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [30.01.2007 11:42]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [27.04.2007 00:45]
"RTHDCPL"="RTHDCPL.EXE" [22.09.2005 14:36 C:\WINDOWS\RTHDCPL.EXE]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [10.06.2004 14:48]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [21.01.2008 12:17]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.06.2008 14:28]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [19.10.2007 21:16]
"LXDDCATS"="C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXDDtime.dll" [23.01.2007 00:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [15.04.2008 10:00]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"SandboxieControl"="C:\Programme\Sandboxie\SbieCtrl.exe" [30.06.2008 23:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"C:\Programme\CyberLink\PowerCinema\PCMService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"c:\programme\steam\steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"iPod Service"=3 (0x3)
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
"UxTuneUp"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"StarWindServiceAE"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"lxddmon.exe"="C:\Programme\Lexmark 2500 Series\lxddmon.exe"
"lxddamon"="C:\Programme\Lexmark 2500 Series\lxddamon.exe"
"FaxCenterServer"="C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
"High Definition Audio Property Page Shortcut"=HDAShCut.exe
"LXDDCATS"=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"snpstd"=C:\WINDOWS\vsnpstd.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp




-- End of Deckard's System Scanner: finished at 2008-08-08 11:00:30 ------------

Hi,

habe mir alles mal angeschaut, kann allerdings nichts finden;
Was TCPView anzeigt sieht in Ordnung aus, Lexmark, Messenger, IPSEC-Dienste etc. ist normal...
Auch in den restlichen Logs nichts auffälliges...
Das beepen kann eine Konfigurationsänderung der lieben ungebeten Gäste sein..
Du kannst probieren im autostart alles was nicht unbedingt notwendig ist rauszunehmen und dann nach und nach wieder einhängen bis es wieder anfängt...
-> http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Nur eins noch (wobei glaube das dabei nichts rauskommt):
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

Ps.: Java könnte mal wieder ein update vertragen....

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


zack da ist es und ist identisch mit deinem Ergebnis.

Gut werde Java updaten.
Gucke mir jetzt die Autoruns an.

ok, hab nichts auffälliges gefunden...aber es könnte auch daran liegen, dass ich nicht wirklich Erfahrung hab ^^