Computer infiziert!

timo41283 · 04.09.2008, 17:28

Hallo Leute!
Hatte vor ein paar Tagen ein Link von einem Freund über den Yahoo Messenger bekommen und habe ihn angeklickt.
Später laß ich über diese Seite das sie infiziert ist und in keinem Fall angeklickt werden darf.
Ich poste diese seite hier nicht damit keiner dort draufklickt.
Habe ein escan durchgeführt und er hat einiges gefunden.
Was mich bdenklich stimmt ist der Backdoor.
Ich danke für die kompetente Hilfe im Vorraus.
Ich mußte die Host Teile rausnehmen weil sonst der Beitrag viel zu groß gewesen wäre und ich nicht 1000 von Internet Adressen editiert hätte können.
Die HijackThis Logfile ist unter der escan logfile.
Hier der Escan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.6
Sprache: German
C:\DOKUME~1\Timo\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\DOWNLO~1\setup.inf
Offending file found: C:\WINDOWS\DOWNLO~1\setup.inf
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan AntiVirus und Antispyware Toolkit.
eScan AntiVirus und Antispyware Toolkit.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan AntiVirus und Antispyware Toolkit.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Timo\LOKALE~1\Temp\spydb.avs, Size: 849852]...
Indexed Spyware Databases Successfully Created...
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\DOWNLO~1\setup.inf)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Timo\LOKALE~1\Temp\spydb.avs, Size: 849852]...
Indexed Spyware Databases Successfully Created...
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (C:\WINDOWS\DOWNLO~1\setup.inf)! Action taken: Keine Maßnahme ergriffen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkcu\software\microsoft\ole)! Action taken: Keine Maßnahme ergriffen.
System found infected with diskknight Adware (hklm\software\knight)! Action taken: Keine Maßnahme ergriffen.
System found infected with spyware.expresskeylog Corrupted Adware/Spyware (hkcu\software\microsoft\windows\currentversion\policies\associations)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/alcmtr)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be90cbc7-adc6-11dc-99bc-000e2ec1db38} !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{be90cbc7-adc6-11dc-99bc-000e2ec1db38} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
explorer.exe - C:\WINDOWS\explorer.exe
mexe.com - "C:\DOKUME~1\Timo\LOKALE~1\Temp\mexe.com"
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Timo\Eigene Dateien\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Possible Error In InsertIntoDB of value [%sysdir%\intmon.exe]...
ERROR!!! Invalid Entry Debugger = drwtsn32 -p %ld -e %ld -g (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\AEDEBUG). Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\ASFWHide in SYSTEM\CurrentControlSet\Services\ASFWHide. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\catchme.sys in SYSTEM\CurrentControlSet\Services\catchme. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\igxpmp32.sys in SYSTEM\CurrentControlSet\Services\ialm. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\46.tmp in SYSTEM\CurrentControlSet\Services\MEMSWEEP2. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE in SYSTEM\CurrentControlSet\Services\MWAgent. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\WINDOWS\system32\PnkBstrA.exe in SYSTEM\CurrentControlSet\Services\PnkBstrA. Action Taken: No Action Taken.
OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20)
ERROR!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys...
ERROR!!! Invalid Entry %SystemRoot%\System32\ups.exe in SYSTEM\CurrentControlSet\Services\UPS. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\VClone.sys in SYSTEM\CurrentControlSet\Services\VClone. Action Taken: No Action Taken.
ERROR!!! Invalid Entry Debugger = drwtsn32 -p %ld -e %ld -g (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\AEDEBUG). Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\ASFWHide in SYSTEM\CurrentControlSet\Services\ASFWHide. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\Timo\LOKALE~1\Temp\catchme.sys in SYSTEM\CurrentControlSet\Services\catchme. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\igxpmp32.sys in SYSTEM\CurrentControlSet\Services\ialm. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\46.tmp in SYSTEM\CurrentControlSet\Services\MEMSWEEP2. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE in SYSTEM\CurrentControlSet\Services\MWAgent. Action Taken: No Action Taken.
ERROR!!! Invalid Entry C:\WINDOWS\system32\PnkBstrA.exe in SYSTEM\CurrentControlSet\Services\PnkBstrA. Action Taken: No Action Taken.
OpenError (C:\WINDOWS\system32\Drivers\sptd.sys): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x20)
ERROR!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys...
ERROR!!! Invalid Entry %SystemRoot%\System32\ups.exe in SYSTEM\CurrentControlSet\Services\UPS. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\VClone.sys in SYSTEM\CurrentControlSet\Services\VClone. Action Taken: No Action Taken.
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\SecuROM\UserData\???????????p?????????
ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\SecuROM\UserData\???????????p?????????
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\EIGENE~1\mwav.exe
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\EIGENE~1\PROGRA~1\C&C3TO~1\CNC3_P~1.EXE
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\LOKALE~1\Temp\JET21D6.tmp
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\NTUSER.DAT
ERROR!!! ScanFile fails for C:\DOKUME~1\Timo\NTUSER~1.LOG
ERROR!!! ScanFile fails for C:\pagefile.sys
ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_02\lib\rt.jar
ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR!!! ScanFile fails for C:\WINDOWS\system32\drivers\sptd.sys
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 58381
Zahl der kritischen Objekte: 6
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 14
Zeit verstrichen: 00:01:57
Zahl der gescannten Objekte: 108408
Zahl der Fehler: 11
Zeit verstrichen: 00:38:29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 18:15:43,48
Batchende: 18:15:57,48

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:51, on 04.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://***.google.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****://go.microsoft.com/fwlink/?LinkId=69157****
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = *****://go.microsoft.com/fwlink/?LinkId=54896****
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = *****://go.microsoft.com/fwlink/?LinkId=54896***
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****://go.microsoft.com/fwlink/?LinkId=69157****
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwnsp.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

--
End of file - 4500 bytes

timo41283 · 04.09.2008, 20:37

Habe auch nochmal dieses Malwarebytes durchlaufen lassen und das ist der Log dazu.
Er fand ein paar Dinge:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1112
Windows 5.1.2600 Service Pack 3

04.09.2008 21:30:21
mbam-log-2008-09-04 (21-30-15).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 89989
Laufzeit: 33 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\A.ico (Malware.Trace) -> No action taken.
C:\Programme\B.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> No action taken.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> No action taken.

timo41283 · 05.09.2008, 08:03

Hallo nocheinmal
Habe eben mit dem Freund telefoniert und er meint die Nachricht mit dem Link verschickt sich von selber.
Mehrere Leute haben ihm das schon gesagt und er wußte davon nix.
Ich hoffe mir kann jemand helfen.
mfg
timo

undoreal · 05.09.2008, 08:23

Hallo Timo.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

9) Systemanalyse:
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.

Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.

Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.

Unter File -> Database Update Start drücken.

Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.

Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

timo41283 · 05.09.2008, 08:37

Hallo undoreal!
Danke für die Antwort und deine Hilfe.

Das alles wird etwas Zeit in Anspruch nehmen.
Hier erstmal der Blacklight Log:
09/05/08 09:30:39 [Info]: BlackLight Engine 1.0.70 initialized
09/05/08 09:30:39 [Info]: OS: 5.1 build 2600 (Service Pack 3)
09/05/08 09:30:39 [Note]: 7019 4
09/05/08 09:30:39 [Note]: 7005 0
09/05/08 09:30:42 [Note]: 7006 0
09/05/08 09:30:42 [Note]: 7011 1388
09/05/08 09:30:42 [Note]: 7035 0
09/05/08 09:30:42 [Note]: 7026 0
09/05/08 09:30:42 [Note]: 7026 0
09/05/08 09:30:44 [Note]: FSRAW library version 1.7.1024
09/05/08 09:34:27 [Note]: 7007 0
Hoffe das ist das Richtige.

Edit:

Hier ist die ComboFix Logfile:
ComboFix 08-09-04.08 - Timo 2008-09-05 9:46:02.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1592 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Timo\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Timo\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tmp66.tmp
C:\WINDOWS\system32\tmp67.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-05 bis 2008-09-05 ))))))))))))))))))))))))))))))
.

2008-09-05 08:55 . 2008-09-05 08:57 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-04 21:52 . 2008-09-04 21:52 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-04 21:52 . 2008-09-04 21:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-04 19:59 . 2008-09-05 08:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 19:59 . 2008-09-04 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Malwarebytes
2008-09-04 19:59 . 2008-09-04 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 18:56 . 2008-09-04 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-09-04 18:14 . 2008-09-04 18:14 0 --a------ C:\23990098.$$$
2008-09-04 17:16 . 2008-09-04 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-09-04 11:13 . 2008-09-04 11:13 <DIR> d-------- C:\WINDOWS\system32\windows media
2008-09-01 01:56 . 2008-09-01 01:58 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\UseNeXT
2008-08-31 13:16 . 2008-04-14 04:22 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup
2008-08-31 04:55 . 2008-08-31 04:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-08-26 22:57 . 2008-08-26 22:57 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Verimount
2008-08-26 22:10 . 2008-08-26 22:10 <DIR> d-------- C:\Programme\Ventrilo
2008-08-26 19:21 . 2008-08-26 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Ventrilo
2008-08-23 18:55 . 2008-08-23 18:56 <DIR> d-------- C:\Programme\Xfire
2008-08-23 18:55 . 2008-08-31 02:37 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Xfire
2008-08-22 00:39 . 2008-08-22 00:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NexonUS
2008-08-21 16:52 . 2008-08-21 16:52 <DIR> d-------- C:\Programme\Valve
2008-08-21 13:31 . 2008-08-21 13:31 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Yahoo!
2008-08-21 13:30 . 2008-08-21 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-08-21 13:29 . 2008-08-21 13:43 <DIR> d-------- C:\Programme\Yahoo!
2008-08-21 12:52 . 2008-08-21 12:52 <DIR> d-------- C:\WINDOWS\nview
2008-08-21 12:52 . 2008-05-16 14:01 446,464 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-08-21 12:52 . 2008-09-05 07:48 186,097 --a------ C:\WINDOWS\system32\nvapps.xml
2008-08-21 12:52 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-08-21 12:51 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-08-21 12:24 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\DllCache\msadce.dll
2008-08-21 12:22 . 2008-06-14 19:32 273,024 --------- C:\WINDOWS\system32\DllCache\bthport.sys
2008-08-21 12:22 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\DllCache\rmcast.sys
2008-08-21 12:21 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\DllCache\inetcomm.dll
2008-08-21 12:20 . 2008-08-21 12:20 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-08-21 12:20 . 2008-08-21 12:20 <DIR> d-------- C:\WINDOWS\srchasst
2008-08-21 12:20 . 2008-08-21 12:20 <DIR> d-------- C:\Programme\microsoft frontpage
2008-08-21 12:15 . 2008-08-21 12:15 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-21 12:15 . 2008-08-21 12:15 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-21 12:15 . 2008-08-21 12:15 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-21 12:13 . 2008-08-21 12:16 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-21 12:02 . 2005-04-30 13:42 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-08-21 10:26 . 2005-05-17 16:24 311,296 --a------ C:\WINDOWS\system32\AegisI5.exe
2008-08-21 10:26 . 2006-01-18 14:55 290,918 --a------ C:\WINDOWS\system32\Install7x.dll
2008-08-21 10:26 . 2006-01-12 20:46 252,928 --a------ C:\WINDOWS\system32\drivers\rt73.sys
2008-08-21 10:26 . 2005-10-17 20:50 245,376 --a------ C:\WINDOWS\system32\drivers\rt2500usb.SYS
2008-08-21 10:26 . 2008-08-21 10:26 20,747 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-21 10:26 . 2005-11-30 12:33 2,048 --a------ C:\WINDOWS\system32\drivers\rt73.bin
2008-08-21 10:26 . 2005-08-19 16:51 138 --a------ C:\WINDOWS\filespec7x
2008-08-21 00:15 . 2008-08-21 10:25 <DIR> d-------- C:\Programme\Hama
2008-08-15 14:38 . 2008-08-15 14:38 <DIR> d-------- C:\Programme\Avira
2008-08-15 14:38 . 2008-08-15 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-13 00:07 . 2008-08-13 00:07 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-08-12 15:21 . 2008-08-15 17:31 <DIR> d-------- C:\Programme\Electronic Arts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-05 07:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-05 06:39 --------- d-----w C:\Programme\CCleaner
2008-09-04 15:39 9,216 -csha-w C:\Programme\Thumbs.db
2008-09-01 08:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-31 11:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-08-31 11:16 24,064 ----a-w C:\WINDOWS\system32\ctfmon.exe
2008-08-26 20:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-21 09:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-12 19:45 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\DllCache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\DllCache\wuauclt.exe
2008-07-18 20:10 45,768 -c--a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 -c--a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\DllCache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\DllCache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\DllCache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\DllCache\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\DllCache\ie4uinit.exe
2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\DllCache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\DllCache\ieudinit.exe
2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\DllCache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\DllCache\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\DllCache\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\DllCache\tcpip6.sys
2008-06-15 20:58 444,952 -c--a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-15 20:58 109,080 -c--a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-15 20:58 107,888 -c--a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-12 01:38 138,220 -c--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.

------- Sigcheck -------

2002-12-31 15:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2008-08-31 13:16 24064 c3a2915c71ae6f225eb906c25ccd29b5 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2008-08-31 13:16 24064 c3a2915c71ae6f225eb906c25ccd29b5 C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe" [2006-11-14 363008]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 827392]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-08-31 24064]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2008-08-21 610304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-16 14:01 13529088 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
--a--c--- 2007-09-04 20:25 81920 C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-05-16 14:01 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-08-21 16:55 1271032 c:\PROGRA~1\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-08-30 17:43 4670704 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2007-12-20 16:47 16860672 C:\WINDOWS\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

R2 AWISp50;AWISp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\AWISp50.sys [2006-03-15 17664]
S3 39f12;39f12;C:\WINDOWS\system32\39f12.sys [2007-07-30 185824]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\46.tmp [ ]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 97704]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be90cbc7-adc6-11dc-99bc-000e2ec1db38}]
\Shell\AutoRun\command - D:\autorun.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 09:46:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\C:\DOKUME~1\Timo\LOKALE~1\Temp\ASFWHide"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\46.tmp"
.
Zeit der Fertigstellung: 2008-09-05 9:47:49
ComboFix-quarantined-files.txt 2008-09-05 07:47:46

Pre-Run: 16 Verzeichnis(se), 23,736,909,824 Bytes frei
Post-Run: 19 Verzeichnis(se), 23,710,654,464 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=OptIn /fastdetect

207 --- E O F --- 2008-01-09 12:22:59

Hier der nächste Log von SUPERAntispyware
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/05/2008 at 10:31 AM

Application Version : 4.21.1004

Core Rules Database Version : 3557
Trace Rules Database Version: 1545

Scan type : Complete Scan
Total Scan Time : 00:33:42

Memory items scanned : 371
Memory threats detected : 0
Registry items scanned : 4316
Registry threats detected : 0
File items scanned : 44818
File threats detected : 0

Weiteres folgt so schnell wie es dauert.
mfg
timo

timo41283 · 05.09.2008, 10:02

EDIT

Hier also noch der Malwarebytes log und der HijackThis log.
Habe es doch gerade mit dem IClean hinbekommen ist unten anhängig.
Der diesmal sauber ist:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1116
Windows 5.1.2600 Service Pack 3

05.09.2008 11:01:09
mbam-log-2008-09-05 (11-01-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 81874
Laufzeit: 20 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:50, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Timo\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ****google.de****R1*** - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_******go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_*****go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ****go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwnsp.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

--
End of file - 4635 bytes

IClean
Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 05.09.2008 11:11:38
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 3 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Function NtCreateThread (35) intercepted (8058E63F->BA266724), hook not defined
Function NtOpenProcess (7A) intercepted (805717C7->BA266710), hook not defined
Function NtOpenThread (80) intercepted (8058A1BD->BA266715), hook not defined
Function NtTerminateProcess (101) intercepted (805822E0->B6323F20), hook C:\Programme\SUPERAntiSpyware\SASKUTIL.sys
Function NtWriteVirtualMemory (115) intercepted (8057E420->BA26671A), hook not defined
Functions checked: 284, intercepted: 5, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 26
Number of modules loaded: 395
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll>>> Behavioural analysis
Behaviour typical for keyloggers not detected
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU --> Suspicion for Keylogger or Trojan DLL
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU>>> Behavioural analysis
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> Service termination timeout is out of admissible values
Checking - complete
Files scanned: 81201, extracted from archives: 62996, malicious software found 0, suspicions - 0
Scanning finished at 05.09.2008 11:25:11
Time of scanning: 00:13:34
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

undoreal · 05.09.2008, 10:31

Lass' mal bitte folgende Datei auf VT auswerten und poste das komplette Ergebnis.

Zitat:

C:\WINDOWS\system32\xfcodec.dll

timo41283 · 05.09.2008, 10:36

Edit:

In meinem letzten Beitrag oben ist noch der IClean LOG.
OHH Habe oben diesen AV log.
Sorry habe da was durcheinander gebracht IClean Log folgt sofort.
Danke hilfst mir sehr.

Datei xfcodec.dll empfangen 2008.09.05 11:34:15 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.5.1 2008.09.05 -
AntiVir 7.8.1.28 2008.09.05 -
Authentium 5.1.0.4 2008.09.05 -
Avast 4.8.1195.0 2008.09.04 -
AVG 8.0.0.161 2008.09.05 -
BitDefender 7.2 2008.09.05 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.05 -
DrWeb 4.44.0.09170 2008.09.05 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 -
Ewido 4.0 2008.09.04 -
F-Prot 4.4.4.56 2008.09.04 -
F-Secure 8.0.14332.0 2008.09.05 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.05 -
Ikarus T3.1.1.34.0 2008.09.05 -
K7AntiVirus 7.10.441 2008.09.04 -
Kaspersky 7.0.0.125 2008.09.05 -
McAfee 5377 2008.09.04 -
Microsoft 1.3903 2008.09.05 -
NOD32v2 3418 2008.09.05 -
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.04 -
PCTools 4.4.2.0 2008.09.04 -
Prevx1 V2 2008.09.05 -
Rising 20.60.42.00 2008.09.05 -
Sophos 4.33.0 2008.09.04 -
Sunbelt 3.1.1606.1 2008.09.04 -
Symantec 10 2008.09.05 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.04 -
ViRobot 2008.9.4.1363 2008.09.04 -
VirusBuster 4.5.11.0 2008.09.04 -
Webwasher-Gateway 6.6.2 2008.09.05 -
weitere Informationen
File size: 42320 bytes
MD5...: cb0e32ac1069e54e0b9807aa467c0d1e
SHA1..: 214ddc727f1e44faf0863af3d17ab523acd03b73
SHA256: 45465191f0d1df865e39aeb11114db857d195e0574e0668f09cc7a66d38a395f
SHA512: 9e4d2d6fe43a9125f6d74999208572c9bfa7224311ac68131b21dc44327bbeca
a811e812f0d501dbd1de51eea977a045a351ddccc5daf4395a443cfe8ef6adfb
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007640
timedatestamp.....: 0x48a20805 (Tue Aug 12 22:00:37 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6ab1 0x6c00 6.47 708da6b7d7bf68944369b2174d97b6a7
.rdata 0x8000 0xab1 0xc00 4.47 6b512d841301c878e0893ea0abf31deb
.data 0x9000 0x63fc 0x200 1.15 4c081c22a223dd877a968ed8dcda112e
.CRT 0x10000 0x14 0x200 0.06 47c56e00a148776ecfa64caa2bcce39d
.rsrc 0x11000 0x380 0x400 4.00 29cd4ad1d0cfc2d43e64048cbf9873a2
.reloc 0x12000 0xb3e 0xc00 6.55 ee4adbe9c6bae4a6017cecbad95bb1b1

( 3 imports )
> WINMM.dll: DefDriverProc
> KERNEL32.dll: WaitForSingleObject, LoadLibraryA, QueryPerformanceFrequency, GetTickCount, QueryPerformanceCounter, OutputDebugStringA, CloseHandle, CreateEventW, CreateThread, CreateMutexW, RaiseException, ReleaseMutex, SetEvent, GetProcAddress, FreeLibrary
> USER32.dll: wvsprintfA, MessageBoxW

( 2 exports )
DriverProc, XfireCodecCompress

undoreal · 05.09.2008, 10:45

Zitat:

OHH Habe oben diesen AV log.
Sorry habe da was durcheinander gebracht IClean Log folgt sofort.

kein Problem. Nur arbeite konzentriert und in Ruhe.

Beim AVZ log hast du was falsch gemacht. Lies dir die Anleitung nochmal in aller Ruhe durch..

timo41283 · 05.09.2008, 10:51

Hallo!
Mit dem IClean gibt es trotz rauseditieren der 32 und 33 Zeilen noch das Problem das es zu viele Zeichen hat.
Es sind hier 25000 erlaubt,doch diese Datei hat 260000.
Wie soll ich das jetzt am Besten machen?
mfg
Timo

Computer infiziert!

Plagegeister aller Art und deren Bekämpfung: Computer infiziert!