Hallo,

hier der neue Logfile


ComboFix 08-08-18.04 - ********** 2008-08-19 10:59:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*****************\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\************\UserData
C:\Dokumente und Einstellungen\**************\UserData\index.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Service_sysrest.sys


((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 10:54 . 2008-08-19 10:54 <DIR> d-------- C:\Programme\PrevxCSI
2008-08-19 10:54 . 2008-08-19 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-08-19 10:54 . 2008-08-19 10:54 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Dokumente und Einstellungen\******* *********+\Anwendungsdaten\Malwarebytes
2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-19 09:51 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-19 09:51 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 19:58 . 2008-08-18 19:58 <DIR> d-------- C:\NVIDIA
2008-08-18 19:58 . 2008-08-18 19:59 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-08-18 19:58 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-08-18 16:56 . 2008-08-18 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-08-18 16:54 . 2008-08-18 16:54 18,944 --a------ C:\0xf9.exe
2008-08-04 09:30 . 2008-07-03 12:49 3,342 --a------ C:\WINDOWS\TM.INI
2008-08-04 09:30 . 2008-07-03 12:49 42 --a------ C:\WINDOWS\TDF.DII

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 07:25 --------- d-----w C:\Programme\SMSC
2008-08-19 06:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-14 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-04 06:56 --------- d-----w C:\Programme\Google
2008-07-09 14:31 --------- d-----w C:\Programme\Microsoft SQL Server
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-10 10:06 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe" [2005-01-15 13:24 32881]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 14:35 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-08-19 10:54]
R2 CSIScanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-08-19 10:54]
R2 HRService;Haufe iDesk-Service in G:\Programme\Haufe\iDesk\iDeskService\Zope;G:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-11-07 04:43]
R2 WKSVW32;WIBU-KEY Server;C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe [2005-04-15 06:00]
R3 Wibukey2;Wibukey2;C:\WINDOWS\system32\drivers\wibukey2.sys [2004-09-02 05:10]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
HKLM-Run-SetIcon - \Program Files\SMSC\SetIcon.exe


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 11:02:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\j2re1.4.2_07\bin\jucheck.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\WinZip\WZQKPICK.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
G:\Programme\Haufe\iDesk\iDeskService\python.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 11:04:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-19 09:04:15

Pre-Run: 10 Verzeichnis(se), 48,396,726,272 Bytes frei
Post-Run: 13 Verzeichnis(se), 48,393,699,328 Bytes frei

125 --- E O F --- 2008-08-14 13:50:06


So, wie siehts jetzt aus??

Hi,

sieht sauber aus (bis auf eine Sache), Dein JAVA ist total veraltet..

Was ist das hier:
C:\0xf9.exe

Onlinescannen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:

C:\0xf9.exe

Poste das Ergebniss!

Deine Javasoftware ist veraltet,
Download jre-6u7-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe”

Bitte noch PrevX posten...

chris

So, Ergebnis von Virustotal:


Datei 0xf9.exe empfangen 2008.08.18 19:12:32 (CET)
Status: Beendet

Ergebnis: 8/36 (22.22%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - HEUR/Malware
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Suspicious:W32/Malware!Gemini
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - TrojanDownloader:Win32/VB.AAG
NOD32v2 - - a variant of Win32/TrojanDownloader.VB.NPK
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Downloader.MisleadApp
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - Heuristic.Malware
weitere Informationen
MD5: d12597cb47ef0e2705cf35b96b7df77b
SHA1: f9af3405f2790587d3d6e16a661b505f4ae8e1df
SHA256: 566247a6ff2e4cce57b31e3c4bfc4a4d4280dce57813e31483742cd4c4334755
SHA512: 9985e7ae4cf9f7056f1577162a2726efc0695d813f9d43cf633eb752529081bc4654e02aa55714d53c986925a31eedafb070fdff0bc1adf98908b8160c75fea7



Was mache ich damit????

PrevX hat keine infizierten Dateien gefunden, daher hatte ichs nicht gepostet! Mein altes Java werde ich später erneuern, wenn ich die ganzen bösen Sachen los bin

Hi,

einen Aufruf konnte ich nicht identifizieren (aber das muss nichts heissen), versuche die Datei im abgesicherten Modus umzubenennen, keinesfalls ausführen).
Hah, besser versuche sie einfach so umzubenennen, wenn das nicht geht dann läuft das Ding im Hintergrund, dann in den abgesicherten Mode gehen (Neu booten, beim Booten F8 drücken).

Wie folgt umbenennen:
0xf9.exe nach 0xf9.exe.vir
Damit ist die Datei nicht mehr ausführbar und kann von eventuell vorhanden, unsichtbaren Starteinträgen nicht mehr gefunden werden....

chris

Ps.: Es sind dann noch "verwaiste" Serviceeinträge da (Legacy_SYSREST.SYS und Service_sysrest.sys), das ist unschön, aber da die Dateien "weg" sind, sollte das kein Problem sein. Es sei denn Du willst sie loshaben, dann müssen wir noch was tun...
So, Mittagspause...

Hi,

hab jetzt mal explizit gesucht und das hier gefunden:


0XF9.EXE-059E78B4.pf
C:\WINDOWS\Prefetch
PF-Datei
Unbekannte Anwendung
36KB

und nochmal

0xf9
Anwendung
C:\
Beschreibung:aaaaaa
19KB


Sind das Viren? Kann ich die nicht einfach löschen??

Verwaiste Einträge? Na ja was heisst stören, können die Schaden anrichten? Wo ich schon dabei bin könnte ich die ja auch grad noch entfernen... denke ich mir...

Ja bald hab ich auch Mittagspause! Dank Dir schonmal für Deine tolle Hilfe! Echt super!

Gibts hier im Board irgendwo noch allgemein Infos zu Sicherheit, Antivirenzeugs und so??

Ich glaube ich hab nur XP service Pack2 drauf, ist das ein Problem? Benutze den IE, soll ich besser auf Firefox umsteigen? Was ist mit Auto-Updates von Microsoft, aktivieren? Sonst irgendwelche Sachen die man unbedingt machen sollte oder unbedingt lassen sollte? Hab bisher Avira Antivir benutzt, ist die nicht so dolle? Oder besser regelmässig sowas wie heute machen?

Sorry für die vielen Fragen aber das ist mein Firmen-PC mit einem Fibu Programm mit locker über 10000 Einzelbuchungen, wenn ich mir das abschiesse dann erschiess ich mich gleich mit dazu...

Hi,

müsstest Du löschen können... .
Dann denk bitte unbedingt an ein gutes Backup, Daten von Programmen/Windows trennen (andere Festplatte/Partition) und vielleicht mit diesem PC nicht unbedingt surfen...

Weiterhin eine Firewall einrichten (eine richtige, nicht unbedingt die von Windows), z. B. Zonealarm (http://www.chip.de/downloads/ZoneAlarm_13013718.html), und ja, Firefox ist sicherer, dort kannst Du dann auch NoScript und Dr.Web-Linkscanner einrichten (Addons).
Weiterhin kannst Du den Browser so einrichten, dass er in einer Sandbox läuft (http://www.sandboxie.com/) (d.h. alles was Du in der Sandbox machst passiert nur in ihr, Viren etc. sind darin "eingesperrt" und können beliebig gelöscht werden, es sei denn Du erlaubst den "Ausbruch")...

Du solltest unbedingt auf SP3 aufrüsten (Vollbackup vorher machen)!
http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=de

Aber meistens sitzt das Problem vor dem Rechner, klickt alle Links an, öffnet alle Dateianhänge und führt alle möglichen Programme aus zweifelhaften Quellen aus... ;o).... Und dann nutzt eigentlich nichts wirklich...

Da noch einige MBR-Rootkits unterweg sind, machen wir noch einen kurzen Check...

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


war das jetzt alles?? oder muss ich da noch was anderes machen? Hab mbr gestartet, Bildschirm hat kurz geflackert, dann kam eine neue Textdatei auf den Desktop mbr.txt... und da steht das oben geschriebene drin...