Problem beim Löschen der .vbs-Dateien

fLO2508 · 01.10.2008, 16:18

Hallo,

auch bei mir hat sich der Virus "HTML/Rce.Gen" eingeschlichen. Antivir hat die Viren ausfindig gemacht und ich habe die von Antivir gefundenen Dateien gelöscht. Um den Virus jedoch vollständig zu entfernen habe ich die Anleitung von KarlKarl zum Thema "'Hacked by ***' in der Titelleiste meines Internet Explorers" befolgt und konnte das "hacked by ***" in der Explorerleiste entfernen und auch wieder mit Doppelklick den Explorer öffnen.
Es gelang mir jedoch nicht die gefundenen .vbs-Dateien (pubprn.vbs in C:\WINDOWS\system32 und C\WINDOWS\system32\dllcache) unwiederruflich zu entfernen (sie erscheinen nach ca. 2 Sekunden wieder), außerdem zeigt es im Taskmanager bei mir nicht wie beschrieben den Prozess wscript.exe bzw. cscript.exe an, den man beenden soll.

Betriebssystem: Windows XP Home Edition SP 2

Inwiefern ist mein PC nun noch durch diese vbs-Dateien gefährdet (Antivir meldet schon länger keine Virenmeldungen mehr) und wie kann ich sie loswerden?

Grüße,
flo

cosinus · 01.10.2008, 21:08

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

fLO2508 · 05.10.2008, 17:12

danke schon mal bis hierher,
hier schon mal die logfiles von punkt 1 bis 4:

hijackthis logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:42:26, on 05.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.kle.net
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Comrade.exe] C:\Programme\GameSpy\Comrade\Comrade.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{25CA4481-87A3-467E-9B32-5471B048AAA1}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5717 bytes

MBR logfile:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

malwarebytes logfile:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1229
Windows 5.1.2600 Service Pack 2

05.10.2008 17:25:20
mbam-log-2008-10-05 (17-25-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 236167
Laufzeit: 2 hour(s), 14 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLK9.tmp (Rogue.EvidenceEliminator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM2048.DAT (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\MM256.DAT (Trojan.Agent) -> Quarantined and deleted successfully.

silent runner logfile:

Code:

ATTFilter

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Comrade.exe" = "C:\Programme\GameSpy\Comrade\Comrade.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"UVS10 Preload" = "C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" ["Ulead Systems, Inc."]
"AWatch" = "C:\Programme\FRITZ!DSL\Awatch.exe" ["AVM Berlin"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Google Toolbar Helper"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
                   \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Shell Extension"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]
"{2F860D82-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Drag Drop Handler"
  -> {HKLM...CLSID} = "UltimateZip Drag Drop Handler"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshldr.dll" [null data]
"{DBD8E168-244D-448C-9922-25508950D1DC}" = "Ulead UDF Driver"
  -> {HKLM...CLSID} = "USIShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USIShex.dll" ["Ulead Systems, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
  -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
  -> {HKLM...CLSID} = "TuneUp Theme Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
  -> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
                   \InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Zapotek.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\Zapotek.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssstars.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWMEncVCArrival\
"Provider" = "Windows Media Encoder 9 Series"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Windows Media Components\Encoder\WMEnc.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

PDVDPlayDVDMovieOnArrival\
"Provider" = "PowerDVD"
"InvokeProgID" = "DVD"
"InvokeVerb" = "PlayWithPowerDVD"
HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]

UVSFolder\
"Provider" = "Ulead VideoStudio 10"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Ulead Systems\Ulead VideoStudio 10\vstudio.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"
                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file dvd:%1" ["VideoLAN Team"]


Startup items in "***" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.kle.net

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i560\Driver = "CNMLM58.DLL" ["CANON INC."]


---------- (launch time: 2008-10-05 18:02:27)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 42 seconds.
---------- (total run time: 80 seconds)

fLO2508 · 06.10.2008, 16:37

ich habe combofix wie beschrieben ausgeführt und es hat soweit ich das beurteilen kann auch alles geklappt. Es hat sich am Ende jedoch kein logfile geöffnet und ich finde auch keines unter C:\
es gibt nur eine textdatei C:\ComboFix\ComboFix.txt ->

Code:

ATTFilter

ComboFix 08-10-04.07 - *** 2008-10-06 17:02:32.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.700 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

außerdem sind die .vbs-dateien (C:\WINDOWS\system32 und C:\WINDOWS\system32\dllcache) noch immer vorhanden.

ich hoffe ihr könnt mir helfen und danke für die Mühe,

flo

fLO2508 · 06.10.2008, 16:44

hier noch der filelisting.txt-link

http://www.file-upload.net/download-1162737/listing.txt.html

cosinus · 06.10.2008, 20:06

Zitat:

Zitat von fLO2508

ich habe combofix wie beschrieben ausgeführt und es hat soweit ich das beurteilen kann auch alles geklappt. Es hat sich am Ende jedoch kein logfile geöffnet und ich finde auch keines unter C:\
es gibt nur eine textdatei C:\ComboFix\ComboFix.txt ->

Das Logfile ist aber unvollständig - steht da wirklich nicht mehr drin?

Zitat:

außerdem sind die .vbs-dateien (C:\WINDOWS\system32 und C:\WINDOWS\system32\dllcache) noch immer vorhanden.

Die seh ich nicht im filelisting-Logfile!

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\CF20599.exe
C:\WINDOWS\system32\drivers\oreans32.sys

Danach:

SDFix anwenden

Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

fLO2508 · 07.10.2008, 12:15

hab nochmal alles durchsucht, finde aber kein anderes combofix-logfile mit mehr Inhalt.

Für die C:\WINDOWS\system32\CF20599.exe-Datei wurden keine Ergebnisse gefunden, für C:\WINDOWS\system32\drivers\oreans32.sys die folgenden:

http://http://www.virustotal.com/de/...44a0870406c89e

Report.txt von SDFix:

Code:

ATTFilter

SDFix: Version 1.232 
Run by *** on 2008-10-07 at 12:20

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

C:\ARK2.TMP - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 12:29:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:42130e2a
"s1"=dword:f3fe2b3c
"s2"=dword:997ba30f
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:d7,db,49,23,b3,72,64,22,c4,ca,74,63,1b,72,59,3f,1e,81,b1,ee,bf,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,a5,2a,2d,3a,a2,e6,40,e5,b4,ad,7e,fb,a5,75,88,93,..
"khjeh"=hex:23,3b,30,5b,31,13,0e,bb,28,58,8f,5f,10,72,e7,89,1a,5d,c3,ac,26,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8e,0e,ef,69,70,d2,5a,9b,b6,80,d2,ae,11,e9,de,d1,10,b2,63,72,b3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,11,f8,b4,05,eb,20,f1,90,08,4a,85,a2,62,bf,29,86,81,fa,b6,d0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:3e,b7,d4,26,c3,cb,72,d9,2b,2f,b7,2a,23,8d,1e,50,91,f1,a7,50,8a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:82,05,7e,c8,ca,d8,79,a1,34,06,d2,f8,df,b4,b1,34,12,60,ce,26,3d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:d7,db,49,23,b3,72,64,22,c4,ca,74,63,1b,72,59,3f,1e,81,b1,ee,bf,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,6d,a5,2a,2d,3a,a2,e6,40,e5,b4,ad,7e,fb,a5,75,88,93,..
"khjeh"=hex:23,3b,30,5b,31,13,0e,bb,28,58,8f,5f,10,72,e7,89,1a,5d,c3,ac,26,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8e,0e,ef,69,70,d2,5a,9b,b6,80,d2,ae,11,e9,de,d1,10,b2,63,72,b3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,11,f8,b4,05,eb,20,f1,90,08,4a,85,a2,62,bf,29,86,81,fa,b6,d0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:3e,b7,d4,26,c3,cb,72,d9,2b,2f,b7,2a,23,8d,1e,50,91,f1,a7,50,8a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:82,05,7e,c8,ca,d8,79,a1,34,06,d2,f8,df,b4,b1,34,12,60,ce,26,3d,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"="C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe:*:Enabled:BattlefrontII"
"C:\\Programme\\Spiele\\Warcraft III gecrackt\\war3.exe"="C:\\Programme\\Spiele\\Warcraft III gecrackt\\war3.exe:*:Enabled:Warcraft III"
"C:\\Programme\\Spiele\\CS Source\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO.[www.extreme-torrent.dl.am]\\hl2.exe"="C:\\Programme\\Spiele\\CS Source\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO.[www.extreme-torrent.dl.am]\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Spiele\\CS Source\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO.[www.extreme-torrent.dl.am]\\srcds.exe"="C:\\Programme\\Spiele\\CS Source\\Counter-Strike_Source_FINAL_READ_NFO-EMPORiO.[www.extreme-torrent.dl.am]\\srcds.exe:*:Enabled:srcds"
"C:\\Programme\\Spiele\\Call of Duty - United Offensive\\CoDUOMP.exe"="C:\\Programme\\Spiele\\Call of Duty - United Offensive\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\\Programme\\TrackMania Sunrise\\TmSunrise.exe"="C:\\Programme\\TrackMania Sunrise\\TmSunrise.exe:*:Enabled:TmSunrise"
"C:\\Programme\\Spiele\\gta2\\GTA2.exe"="C:\\Programme\\Spiele\\gta2\\GTA2.exe:*:Enabled:GTA2 main executable"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Enabled:Microsoft Management Console"
"C:\\Programme\\Spiele\\Battlefield 1942\\BF1942.exe"="C:\\Programme\\Spiele\\Battlefield 1942\\BF1942.exe:*:Disabled:BF1942"
"C:\\Programme\\Spiele\\Warhammer geckrackt\\Dawn of War\\W40k.exe"="C:\\Programme\\Spiele\\Warhammer geckrackt\\Dawn of War\\W40k.exe:*:Enabled:W40K"
"C:\\Programme\\Spiele\\Splinter Cell\\Versus\\System\\SCCT_Versus.ex"="C:\\Programme\\Spiele\\Splinter Cell\\Versus\\System\\SCCT_Versus.ex:*:Enabled:SCCT_Versus"
"C:\\Programme\\Spiele\\Halo\\halo.exe"="C:\\Programme\\Spiele\\Halo\\halo.exe:*:Enabled:Halo"
"C:\\Programme\\Spiele\\FlatOut\\flatout.exe"="C:\\Programme\\Spiele\\FlatOut\\flatout.exe:*:Enabled:flatout"
"C:\\Programme\\Spiele\\AoE2 gecrackt\\Age of Empires II\\age2_x1\\age2_x1.exe"="C:\\Programme\\Spiele\\AoE2 gecrackt\\Age of Empires II\\age2_x1\\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"C:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\My Games\\Age of Mythology\\aom.exe"="C:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\My Games\\Age of Mythology\\aom.exe:*:Enabled:Age of Mythology"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\Tom Clancy's Splinter Cell Chaos Theory\\Versus\\System\\SCCT_Versus.ex"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\Tom Clancy's Splinter Cell Chaos Theory\\Versus\\System\\SCCT_Versus.ex:*:Enabled:SCCT_Versus"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\CoDUOMP.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\CODUOMSP\\CoDUOMP.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\CODUOMSP\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\call of duty 2\\CoD2MP_s.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\call of duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\\Dokumente und Einstellungen\\***g\\Desktop\\LAN\\track mania\\TmNationsESWC.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\track mania\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Programme\\Spiele\\TrackMania United\\TmUnited.exe"="C:\\Programme\\Spiele\\TrackMania United\\TmUnited.exe:*:Enabled:TmUnited"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\CODUOMSP\\CoDMP.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN\\CODUOMSP\\CoDMP.exe:*:Enabled:CoDMP"
"C:\\Programme\\Spiele\\Battle Realmes\\Battle_Realms_F.exe"="C:\\Programme\\Spiele\\Battle Realmes\\Battle_Realms_F.exe:*:Enabled:Battle_Realms_F"
"C:\\Programme\\Spiele\\UT2004\\System\\UT2004.exe"="C:\\Programme\\Spiele\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\CODUOMSP\\CoDUOMP.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\CODUOMSP\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\CODUOMSP\\CoDMP.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\CODUOMSP\\CoDMP.exe:*:Enabled:CoDMP"
"C:\\Programme\\Spiele\\hl.exe"="C:\\Programme\\Spiele\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\lan\\css an Pc-3\\hl2.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\lan\\css an Pc-3\\hl2.exe:*:Enabled:hl2"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\lan\\Battlefield 1942\\BF1942.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\lan\\Battlefield 1942\\BF1942.exe:*:Enabled:BF1942"
"C:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe"="C:\\Programme\\Unreal Tournament 3\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\\Programme\\Spiele\\flatout2\\FlatOut2.exe"="C:\\Programme\\Spiele\\flatout2\\FlatOut2.exe:*:Enabled:FlatOut2"
"C:\\Programme\\Spiele\\battlefield2\\BF2 crack.exe"="C:\\Programme\\Spiele\\battlefield2\\BF2 crack.exe:*:Enabled:BF2 crack"
"C:\\Programme\\Spiele\\Battlefield 2\\BF2.exe"="C:\\Programme\\Spiele\\Battlefield 2\\BF2.exe:*:Enabled:BF2"
"C:\\Programme\\Valve\\hl.exe"="C:\\Programme\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Spiele\\UnrealTournament\\System\\UnrealTournament.exe"="C:\\Programme\\Spiele\\UnrealTournament\\System\\UnrealTournament.exe:*:Enabled:UnrealTournament"
"C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\lan\\Neuer Ordner (2) an Mueller\\gta2.exe"="C:\\Dokumente und Einstellungen\\***\\Desktop\\LAN+ Dateien vom alten pc\\lan\\Neuer Ordner (2) an Mueller\\gta2.exe:*:Enabled:GTA2 main executable"
"C:\\Programme\\Spiele\\Serious Sam 2\\Bin\\DedicatedServer.exe"="C:\\Programme\\Spiele\\Serious Sam 2\\Bin\\DedicatedServer.exe:*:Enabled:DedicatedServer"
"C:\\Programme\\Spiele\\Call of Duty 2\\CoD2MP_s.exe"="C:\\Programme\\Spiele\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\\Programme\\Spiele\\Serious Sam 2\\Bin\\Sam2.exe"="C:\\Programme\\Spiele\\Serious Sam 2\\Bin\\Sam2.exe:*:Disabled:Sam2"
"C:\\Programme\\Spiele\\call of duty 1\\CoDUOMP.exe"="C:\\Programme\\Spiele\\call of duty 1\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"C:\\Programme\\Spiele\\Soldat an 192.168.0.5\\Soldat.exe"="C:\\Programme\\Spiele\\Soldat an 192.168.0.5\\Soldat.exe:*:Enabled:Soldat"
"C:\\Programme\\Spiele\\Soldat\\Soldat.exe"="C:\\Programme\\Spiele\\Soldat\\Soldat.exe:*:Enabled:Soldat"
"C:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Temp\\UZ_1230\\ViTALiTY\\PES2008.exe"="C:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Temp\\UZ_1230\\ViTALiTY\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Temp\\UZ_3097\\ViTALiTY\\PES2008.exe"="C:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Temp\\UZ_3097\\ViTALiTY\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Programme\\Spiele\\Pro evo 08\\ViTALiTY\\PES2008.exe"="C:\\Programme\\Spiele\\Pro evo 08\\ViTALiTY\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Programme\\Spiele\\JK III\\GameData\\jamp.exe"="C:\\Programme\\Spiele\\JK III\\GameData\\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\Programme\\Spiele\\flatout2\\FlatOut2\\FlatOut2.exe"="C:\\Programme\\Spiele\\flatout2\\FlatOut2\\FlatOut2.exe:*:Enabled:FlatOut2"
"C:\\Programme\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Programme\\Spiele\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:iw3mp"
"\\\\Killerpckiller\\schpiiiiiiilleeeeeeeeee\\Star Wars Battlefront\\GameData\\Battlefront.exe"="\\\\Killerpckiller\\schpiiiiiiilleeeeeeeeee\\Star Wars Battlefront\\GameData\\Battlefront.exe:*:Enabled:Battlefront.exe"
"\\\\Killerpckiller\\schpiiiiiiilleeeeeeeeee\\wc3\\war3.exe"="\\\\Killerpckiller\\schpiiiiiiilleeeeeeeeee\\wc3\\war3.exe:*:Enabled:war3.exe"
"\\\\Günthernetzwerk\\Spiele\\Counter-Strike Source\\hl2.exe"="\\\\Günthernetzwerk\\Spiele\\Counter-Strike Source\\hl2.exe:*:Disabled:hl2.exe"
"C:\\Programme\\Spiele\\Counter-Strike Source\\hl2.exe"="C:\\Programme\\Spiele\\Counter-Strike Source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Spiele\\Valve\\hlds.exe"="C:\\Programme\\Spiele\\Valve\\hlds.exe:*:Enabled:HLDS Launcher"
"C:\\Programme\\Spiele\\Rise of Nations\\rise.exe"="C:\\Programme\\Spiele\\Rise of Nations\\rise.exe:*:Enabled:Rise of Nations"
"C:\\Programme\\Spiele\\Rise of Nations\\nations.exe"="C:\\Programme\\Spiele\\Rise of Nations\\nations.exe:*:Enabled:Rise of Nations"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 16 Feb 2007         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri  4 Jul 2008         1,745 ...HR --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

HijackThis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57, on 2008-10-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hjt\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{25CA4481-87A3-467E-9B32-5471B048AAA1}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5884 bytes

Gruß,

flo

fLO2508 · 07.10.2008, 12:51

ok das mit dem link geht wohl nicht, ich hoffe so sind alle wichtigen infos enthalten:

Code:

ATTFilter

Antivirus	Version	letzte aktualisierung	Ergebnis
CAT-QuickHeal	9.50	2008.10.07	Rootkit.Agent.ad
K7AntiVirus	7.10.486	2008.10.06	Backdoor.Win32.SdBot.AEFU
PCTools	             4.4.2.0	2008.10.06	Rootkit.Agent
ViRobot	2008.10.7.1410	2008.10.07	Trojan.Win32.NTRootkit.33952

weitere Informationen
File size: 33952 bytes
MD5...: aad837bf3b475092fd515cd0842334e9
SHA1..: 2f845acac30e40d5aea3ccf8d02f5226089366a5
SHA256: 57be83e12430fcd9ef76ff8dd8a139bf5a8b96e658edd98f4edb3dfb28f27dc0
SHA512: 88f391b5742fc09a7ed4780a6b60d953d88d473ea870e1befa4dbc2e44afb15d<BR>a3a3c31c00e5ff44e4104e15ac1b4e17558b0442390d8ced3f5b7c0b5edd607b
PEiD..: -
TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x17c55<BR>timedatestamp.....: 0x44339f82 (Wed Apr 05 10:44:18 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x2a0 0x7b46 0x7b60 6.96 a2524f1794b11a9e311333f0da3f6b18<BR>.rdata 0x7e00 0x9c 0xa0 2.76 9d11c72f35eabe22c350bc236bec8c82<BR>.data 0x7ea0 0x27e 0x280 4.66 bb0fc8bd7e2d2d94fe43212b79512d9d<BR>INIT 0x8120 0x1d6 0x1e0 4.61 bf7044af9d417640cd0ee4270ba20097<BR>.reloc 0x8300 0x18c 0x1a0 5.49 842703b1f7458f783d38bcf82a98c483<BR><BR>( 3 imports ) <BR>&gt; NTOSKRNL.EXE: IoDeleteDevice, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoCreateDevice, IofCompleteRequest, RtlZeroMemory, RtlInitUnicodeString, DbgPrint<BR>&gt; ntoskrnl.exe: MmAllocateNonCachedMemory, MmFreeNonCachedMemory, MmIsAddressValid, KeServiceDescriptorTable<BR>&gt; HAL.dll: KeLowerIrql, KeRaiseIrql<BR><BR>( 0 exports ) <BR>
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=aad837bf3b475092fd515cd0842334e9

cosinus · 07.10.2008, 13:55

Zitat:

Für die C:\WINDOWS\system32\CF20599.exe-Datei wurden keine Ergebnisse gefunden, für C:\WINDOWS\system32\drivers\oreans32.sys die folgenden:

Ich fürchte Du hast ein weitaus größeres Problem als nur die VBS-Datei - die oreans32.sys wird als Backdoor eingestuft, aus früheren Fällen kenn ich auch Backdoorinfektionen, bei der die Datei ebenfalls eine Rolle spielt.

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Direkt nach dem Neuaufsetzen solltest Du auch unbedingt alle Passwörter ändern oder tu es jetzt von einem sauberen PC aus.

fLO2508 · 13.10.2008, 14:38

so. das wäre getan. hab mein windows neu aufgesetzt und jetzt scheint alles wieder einwandfrei zu funktionieren. danke für die ausführliche hilfe.

MfG,

flo

Problem beim Löschen der .vbs-Dateien

Plagegeister aller Art und deren Bekämpfung: Problem beim Löschen der .vbs-Dateien