Mein Kollege hat mich heute um Hilfe gebeten.
1. Google sucht nicht mehr
2. AV Virenscanner brauchte mehr als die doppelte Zeit

3.Nachdem ich vorsichtshalber mit Knoppix den Rechner gebootet hatte, war auf der Festplatte ein weiteres Verzeichnis bezeichnet mit einem ! ( Ausrufezeichen ) vorhanden.
Dieses Verzeichnis war unter Windows XP nicht sichtbar !!! In diesem Verzeichnis befanden sich mehrere hundert dateien, links auf Zip.files von Programmen aller möglichen Gattungen.

4. Antivirus hat keine Virenmeldung ( nach Komplettcheck ) ausgegeben.
5. Selbst mit Knoppix hat sich nicht alles löschen lassen.
6. Geschwindigkeit des Rechners: nicht merklich langsamer
7. Automatische updates von Windows ist inaktiv obwohl auf aktiv gesetzt.

Ich fürchte, der Rechner muss komplett neu aufgesetzt werden. Das erschreckende war das versteckte Verzeichnis, was durch irgendeine Malware oder sonstigen Troja installiert wurde. Wer hatte schon ein ähnliches Problem oder ist die Thematik evtl. neu ??

Danke für die Tips.

Bärau

Hi und

Bitte lass als erstes mal Malwarebytes laufen.
Poste danch bitte ein HijackThis Logfile

Was konntest du nicht löschen

Hi Trojan Death,

danke für die Hilfe vorab. Kiste steht beim Kollegen..
Das neue Verzeichnis liess sich nicht mal unter Knoppix löschen. Dann hat der IE-Cache noch rumgemuckt, dass er irgendwelche shockwaves nicht löscht. ( obwohl Firefox der standardbrowser ist...)

Sobald ich dazu komme poste ich die files... aber ist es die Mühe wert ??? Ich glaube fast, dass die Kiste beim Neuaufsetzen schneller bereinigt ist...

lg Bärau

(noch) kA brauche zuest die Logfiles um irgend ne Prognose abzugeben... Könnte ja vlt. auch etwas anderes dahinter stecken..

Heute morgen neuer Anruf vom Kollegen.... Windoof hat die Datenträgerbereinigung gestartet ( beim booten ) NTCS .. irgendwelche Fehler festgestellt, Kiste ist abgestürzt...
rien ne vas plus.... ich muss erstmal schauen wie ich dem Ding wieder Leben einhauche..

Melde mich, sobald ich die Files holen konnte.

So, nun ist das Verzeichnis bei einem anderen Mitbenutzer aufgetaucht... Malware läuft gerade, momentan infizierte objekte: 26..schaunmermal

Hier das Malware logfile:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 5.1.2600 Service Pack 2

21:53:11 20.08.2008
mbam-log-08-20-2008 (21-53-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 113549
Laufzeit: 1 hour(s), 33 minute(s), 3 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 10
Infizierte Dateien: 103

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Michaela\svchosts.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\fimhonhk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkkKcyAR.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rkecqj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gkayfv.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21034aee-7b18-4948-9e27-d49992ea0d75} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{21034aee-7b18-4948-9e27-d49992ea0d75} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2caf5b6-8bb8-4bd4-88e2-cb8bcc206688} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c2caf5b6-8bb8-4bd4-88e2-cb8bcc206688} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3f6f4fe-85f6-4d0c-98de-15324b09f149} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfdutme (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3f6f4fe-85f6-4d0c-98de-15324b09f149} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetgamebox (Adware.EGDAccess) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spyware-secure (Rogue.Spyware-Secure) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NetProject (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\videoPl.chl (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\306a29e2 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm33591a7e (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Host Process (Worm.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\some (Trojan.Zlob) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jkkkcyar -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkkcyar -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\InternetGameBox (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\skins (Adware.EGDAccess) -> No action taken.
C:\Programme\Spyware-Secure (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources (Rogue.Spyware-Secure) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\rkecqj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkkKcyAR.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\RAycKkkj.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\RAycKkkj.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\khfDuTME.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\fimhonhk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\khnohmif.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\itejmuhg.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ghumjeti.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kinipgnw.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wngpinik.ini (Trojan.Vundo.H) -> No action taken.
C:\ARK28.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZPBBMI2\kb456456[1] (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4J2YVC2\kb65666[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4J2YVC2\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A0F3E021-8823-4490-895F-D5BEFFD590EB}\RP180\A0051959.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{A0F3E021-8823-4490-895F-D5BEFFD590EB}\RP190\A0056924.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dpcmkdqg.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dqfsylro.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ecsolakn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hpwdvkqo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lsjcmgnb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nijfhj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ryqecehn.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fgsmni.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rifgtr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sjoymhoe.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qdcymrua.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\knkpvjog.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kvsfjk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gkayfv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yfhxxbvn.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yhhnumti.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\muedhbmq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cftiqvjt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\iqfewvdf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\frfcoo.dll (Trojan.Vundo) -> No action taken.
C:\Programme\InternetGameBox\InternetGameBox.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\language (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\uninst.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> No action taken.
C:\Programme\Spyware-Secure\config.s3db (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\Gfx_de.bin (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\language (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\nbmw (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\quarantine.s3db (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\skin (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\Spyware-Secure.url (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\sqlite3.dll (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\sws_translations.xml (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\uninst.exe (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\unrar.dll (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE.zip (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\explo_intro.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\explo_menu.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\file.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\fleche.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\folder.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\folder_f.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\folder_o.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\index.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\menu.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\menu3.js (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\spy.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\trait_coud.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\trait_droit.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\trait_vert.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\fleche.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\folder.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\key.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\menu.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\support.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\title-hepfile.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN\dowload-file-antispyware.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN\menu.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\images\EN\scstep2.gif (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\3differentscan.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\contactus.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\found-objects.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\lexic.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\navigtabs.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\quarantine.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\help\help_Trial_DE\rubs\register.htm (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\cookies_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesDesc_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesDesc_1-12.dic (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesExt_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesMulti_1-12.idx (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\filesSimple_1-12.idx (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\malwaresDB_1-12 (Rogue.Spyware-Secure) -> No action taken.
C:\Programme\Spyware-Secure\resources\register_1-12.dat (Rogue.Spyware-Secure) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\Patch.cmd (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sckbnish.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Michaela\svchosts.exe (Worm.IRCBot) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM33591a7e.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM33591a7e.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.


und hier das Hijackfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:11, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: {0a829908-22b9-7c3b-5464-6df37f36bbc3} - {3cbb63f7-3fd6-4645-b3c7-9b22809928a0} - C:\WINDOWS\system32\rifgtr.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - (no file)
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S352.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1198744912156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1198779201625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O22 - SharedTaskScheduler: figpecker - {7d7bd0c4-4913-4933-b870-7388a7bffb82} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6084 bytes


Alle installierten Programme ( MS-Office etc. ) sind zwar auf der Platte aber die Einträge im Systemmenü sind weg...

Bin gespannt was raus kommt..

lg
Uli

Hi,

wie heißt der Ordner denn? Wieso könnt ihr den ORdner nicht mit Knoppix löschen?

Filelisting
Erstelle bitte ein filelisting mit diesem script:
- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

MBR
Führe bitte auch folgende Datei aus und poste das erstellte Log: mbr.exe

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Trenne bitte alle befallenen Rechner vorerst vom Internet.

lg myrtille

Hier der LInk zum filelisting

File-Upload.net - listing.txt

hier das mbr file

Beim MBR File fehlt irgendwie etwas. Das Logfile.

ups.. hat anscheinend nicht geklappt.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Das war alles.. Beim scannen konnte man das nicht sichtbare Verzeichniss sehen, bezeichnet als : ! ( Verzeichnisname ist ein Ausrufezeichen...) beispiel C:dokumente und einstellungen\user\!

Als ich heute wieder mit der Knoppix rein bin, konnte man das verzeichnis sehen, beim anklicken kam dann die Meldung,: Verzeichnis nicht vorhanden..

Der Scan mit GMER hat ganz was anderes gezeigt...da konnte man das ! Verzeichnis wieder sehen... im moment läuft rootkit revealer

Was soll ich machen wenn beim booten immer der blaue schirm kommt ? Meine Kollegin hats mal laufen lassen, aber dann hat sich die kiste aufgehängt... einfach warten ???

Auch der rootkit revealer scant das ! Verzeichnis... also muss es da sein....und offensichtlich sind tausende zip files drinne... von allen möglichen Progammen, gross können die files nicht sein.

Kiste ist vom netz weg, hab meinen schleppi nebenan...

hier das log:
HKLM\SECURITY\Policy\Secrets\SAC* 24.12.2007 17:08 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 24.12.2007 17:08 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 21.08.2008 16:57 80 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 11.04.2008 13:58 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 11.04.2008 13:58 111.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 11.04.2008 13:58 8.00 KB Visible in Windows API, but not in MFT or directory index.

Auch hier sieht es wieder so aus, als ob da nur ein Ausschnitt des Logs kopiert worden ist.

Das Log von GMER bräuchte ich vollständig.

hier das komplette file..

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-22 19:00:36
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xEEFB2040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xEEFAE930]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xEEFB9A80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xEEFB2510]
SSDT F7D6D23C ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xEEFB2600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xEEFAEF20]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xEEFBA6E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xEEFBA440]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xEEFBA8B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xEEFAED70]
SSDT F7D6D228 ZwOpenProcess
SSDT F7D6D22D ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xEEFBB250]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xEEFBACB0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xEEFB1C00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xEEFBB080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xEEFAF120]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xEEFBA140]
SSDT F7D6D237 ZwTerminateProcess
SSDT F7D6D232 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? srescan.sys Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [EEFC4330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [EEFB6CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [EEFB6E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [EEFB7320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [EEFB71C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [EEFAF670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [EEFAF5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [EEFAF770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [EEFAF2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- EOF - GMER 1.0.14 ----