unerklärliche warnmeldung - trojaner verdacht

Lutz123 · 10.10.2008, 02:13

hallo zusammen,

zu meinem problem das ich seit ein paar stunden habe, bin ich auf eurer board gestoßen.

seit heute habe ich auf einmal beim surfen eine art windows firewall-meldung bekommen, auf englisch, wo ich ein programm "enable" konnte, lange rede kurzer sinn, meine windows firewall musste ich aktivieren sie war plötzich deaktiviert und danach hatte ich folgendes bzw. habe es immer noch.

beim anklicken von diesem fenster öffnet sich dann das, ich schließe es einfach, lasse es nicht zuende durchlaufen.

hier meine HijackThis log-file, ich hoffe diese infos sagen euch etwas?

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:05:08, on 10.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\WINDOWS\system32\telcpijg.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [AplSys] C:\WINDOWS\system32\telcpijg.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

vielen dank im voraus, für die hoffentlich erfolgreiche hilfe

mfg
lutz

Lutz123 · 10.10.2008, 11:33

das war die naricht, wo ich dachte es sei von windows selbst

(ich habe keinen edit button gefunden, bitte um entschuldigung!)

myrtille · 10.10.2008, 11:36

Hi,

arbeite bitte folgendes ab:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Lutz123 · 12.10.2008, 02:28

hallo myrtille,

ich habe deine anweisungen befolgt.

hier der log.

Code:

ATTFilter

ComboFix 08-10-11.02 - frohni 2008-10-12  3:12:40.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1530 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))
.

2008-10-11 03:35 . 2008-10-11 03:35	<DIR>	d--------	C:\Programme\kvldqtb
2008-10-11 03:35 . 2008-10-11 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
2008-10-11 03:35 . 2008-10-11 03:35	81,920	--a------	C:\WINDOWS\system32\ipuxudgl.exe
2008-10-10 13:36 . 2008-10-10 13:36	<DIR>	d--------	C:\WINDOWS\Content.IE5
2008-10-10 13:07 . 2008-10-10 13:07	<DIR>	d--------	C:\Programme\Yahoo!
2008-10-10 13:07 . 2008-10-10 13:07	<DIR>	d--------	C:\Programme\CCleaner
2008-10-10 03:04 . 2008-10-10 03:04	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-10 02:40 . 2007-09-29 11:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 02:40 . 2008-10-10 02:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-10 02:35 . 2008-10-11 03:38	2,828	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-10 00:52 . 2008-10-12 03:03	65,428	--a------	C:\WINDOWS\system32\wini104552502.exe
2008-10-10 00:50 . 2008-10-10 00:50	<DIR>	d--------	C:\Programme\cjxgsve
2008-10-10 00:50 . 2008-10-10 00:50	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
2008-09-24 00:25 . 2008-09-24 00:25	<DIR>	d--------	C:\Programme\uTorrent
2008-09-13 17:09 . 2008-09-13 17:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 17:08 . 2008-09-13 17:08	<DIR>	d--------	C:\Programme\PC Connectivity Solution
2008-09-13 17:07 . 2008-05-07 07:39	1,419,232	--a------	C:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-09-13 17:07 . 2008-05-07 07:38	659,968	--a------	C:\WINDOWS\system32\nmwcdcocls.dll
2008-09-13 17:07 . 2008-05-07 07:38	20,864	--a------	C:\WINDOWS\system32\drivers\ccdcmbo.sys
2008-09-13 17:07 . 2008-05-07 07:38	17,536	--a------	C:\WINDOWS\system32\drivers\ccdcmb.sys
2008-09-13 17:07 . 2008-05-07 07:38	8,064	--a------	C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2008-09-13 17:07 . 2008-06-06 09:24	8,064	--a------	C:\WINDOWS\system32\drivers\usbser_lowerflt.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 01:08	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-10 06:58	82,944	----a-w	C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58	82,944	----a-w	C:\WINDOWS\system32\IEDFix.C.exe
2008-10-09 22:50	---------	d-----w	C:\Programme\Opera
2008-10-05 09:40	---------	d-----w	C:\Programme\Trillian
2008-10-02 13:00	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\uTorrent
2008-10-01 13:51	87,552	----a-w	C:\WINDOWS\system32\VACFix.exe
2008-09-28 16:26	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\OpenOffice.org2
2008-09-13 15:51	---------	d-----w	C:\Programme\DAEMON Tools Pro
2008-09-13 15:09	---------	d-----w	C:\Programme\Nokia
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Nokia
2008-09-08 21:38	88,576	----a-w	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-07 11:00	---------	d-----w	C:\Programme\Xvid
2008-09-07 10:59	---------	d-----w	C:\Programme\DivX
2008-09-07 10:57	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Apple Computer
2008-09-07 10:54	---------	d-----w	C:\Programme\QuickTime
2008-09-07 10:53	---------	d-----w	C:\Programme\Apple Software Update
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-25 07:07	3,532	----a-w	C:\drmHeader.bin
2008-08-18 10:19	82,432	----a-w	C:\WINDOWS\system32\404Fix.exe
2008-08-15 12:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-05 22:02	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02	3,596,288	-c--a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58	161,096	-c--a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-02-26 22:07	28,460,240	----a-w	C:\Dokumente und Einstellungen\lutz123\DesktopEXP_mio_tc.zip
2008-01-20 00:38	191,761,053	----a-w	C:\Dokumente und Einstellungen\lutz123\ede6.zip
2007-11-18 20:37	32	-c--a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48	32,768	-c--a-r	C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"WinSrv"="C:\WINDOWS\system32\ipuxudgl.exe" [2008-10-11 81920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"dbmnt"= {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\dbmnt.dll [2008-10-11 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\lutz123\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:08]

2008-09-27 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Mozilla\Firefox\Profiles\lm693snn.default\
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 03:16:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12  3:21:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-12 01:21:16

Vor Suchlauf: 8.979.554.304 Bytes frei
Nach Suchlauf: 8,883,105,792 Bytes frei

240	--- E O F ---	2008-09-10 07:16:42

nachdem ich dachte, alles sei wieder okay und ich diesen beitrag schreiben wollte in meinem mozilla, kam diese naricht wieder:

http://666kb.com/i/b2u329snr1l2n97wv.jpg

hat das was zu sagen bzw. wie muss ich weiterverfahren?

danke im voraus für die hilfe

grüße
lutz123

myrtille · 13.10.2008, 17:47

Hi,

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

file::
C:\WINDOWS\system32\ipuxudgl.exe
C:\WINDOWS\system32\wini104552502.exe
folder::
C:\Programme\cjxgsve
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
C:\Programme\kvldqtb
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

Lutz123 · 29.10.2008, 01:52

Hallo myrtille,

ich habe deine anweisungen befolgt, hier das gewünschte log.

Code:

ATTFilter

ComboFix 08-10-28.01 - frohni 2008-10-29  1:42:43.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1541 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\frohni\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\ipuxudgl.exe
C:\WINDOWS\system32\wini104552502.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk\dspqreny.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi\pwnkjgdq.exe
C:\Programme\cjxgsve
C:\Programme\cjxgsve\monapismart.dll
C:\Programme\kvldqtb
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wini104552502.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-29  ))))))))))))))))))))))))))))))
.

2008-10-29 00:41 . 2008-10-29 00:41	98,304	--a------	C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
2008-10-29 00:41 . 2008-10-29 00:41	43,008	--a------	C:\Dokumente und Einstellungen\fwldpl.dll
2008-10-15 00:34 . 2008-10-15 00:34	1,393	--a------	C:\WINDOWS\imsins.BAK
2008-10-10 12:36 . 2008-10-10 12:36	<DIR>	d--------	C:\WINDOWS\Content.IE5
2008-10-10 12:07 . 2008-10-10 12:07	<DIR>	d--------	C:\Programme\Yahoo!
2008-10-10 12:07 . 2008-10-10 12:07	<DIR>	d--------	C:\Programme\CCleaner
2008-10-10 02:04 . 2008-10-10 02:04	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-10 01:40 . 2007-09-29 10:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 01:40 . 2008-10-29 01:43	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 01:40 . 2008-10-10 01:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-10 01:35 . 2008-10-12 13:04	2,736	--a------	C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Azureus
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Apple Computer
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Ahead
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\ACD Systems
2008-10-28 23:05	---------	d-----w	C:\Programme\Trillian
2008-10-23 08:04	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\OpenOffice.org2
2008-10-12 11:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-09 22:50	---------	d-----w	C:\Programme\Opera
2008-10-02 13:00	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\uTorrent
2008-09-23 22:25	---------	d-----w	C:\Programme\uTorrent
2008-09-15 15:37	1,846,144	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-13 15:51	---------	d-----w	C:\Programme\DAEMON Tools Pro
2008-09-13 15:09	---------	d-----w	C:\Programme\Nokia
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08	---------	d-----w	C:\Programme\PC Connectivity Solution
2008-09-13 15:08	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Nokia
2008-09-07 11:00	---------	d-----w	C:\Programme\Xvid
2008-09-07 10:59	---------	d-----w	C:\Programme\DivX
2008-09-07 10:54	---------	d-----w	C:\Programme\QuickTime
2008-09-07 10:53	---------	d-----w	C:\Programme\Apple Software Update
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-28 10:04	333,056	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 07:07	3,532	----a-w	C:\drmHeader.bin
2008-08-14 13:42	2,138,624	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42	2,018,304	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 22:02	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02	3,596,288	-c--a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58	161,096	-c--a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-26 22:07	28,460,240	----a-w	C:\Dokumente und Einstellungen\frohni\DesktopEXP_mio_tc.zip
2008-01-20 00:38	191,761,053	----a-w	C:\Dokumente und Einstellungen\frohni\ede6.zip
2007-11-18 20:37	32	-c--a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48	32,768	-c--a-r	C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((((   snapshot@2008-10-12_ 3.20.50.28   )))))))))))))))))))))))))))))))))))))))))
.
- 2007-02-28 16:02:08	2,138,624	-c----w	C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2008-08-14 13:42:27	2,138,624	------w	C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
- 2007-02-28 16:02:21	2,059,904	-c----w	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2008-08-14 13:42:30	2,060,032	------w	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
- 2007-02-28 16:02:05	2,018,304	-c----w	C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2008-08-14 13:42:26	2,018,304	------w	C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
- 2007-02-28 16:02:21	2,182,656	-c----w	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2008-08-14 13:42:30	2,182,656	------w	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
- 2005-10-20 18:02:28	163,328	----a-w	C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28	163,328	----a-w	C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 06:00:00	28,672	----a-w	C:\WINDOWS\NIRCMD.exe
+ 2000-08-31 07:00:00	28,672	----a-w	C:\WINDOWS\NIRCMD.exe
- 2000-08-31 06:00:00	161,792	----a-w	C:\WINDOWS\SWREG.exe
+ 2000-08-31 07:00:00	161,792	----a-w	C:\WINDOWS\SWREG.exe
- 2008-06-20 10:44:38	138,368	-c--a-w	C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-08-14 09:51:43	138,368	-c--a-w	C:\WINDOWS\system32\dllcache\afd.sys
- 2006-08-17 12:28:44	332,288	-c--a-w	C:\WINDOWS\system32\dllcache\netapi32.dll
+ 2008-10-15 16:57:39	332,800	-c--a-w	C:\WINDOWS\system32\dllcache\netapi32.dll
- 2007-02-28 16:02:08	2,138,624	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
+ 2008-08-14 13:42:27	2,138,624	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
- 2007-02-28 16:02:21	2,059,904	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
+ 2008-08-14 13:42:30	2,060,032	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
- 2007-02-28 16:02:05	2,018,304	-c----w	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
+ 2008-08-14 13:42:26	2,018,304	-c----w	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
- 2007-02-28 16:02:21	2,182,656	-c----w	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
+ 2008-08-14 13:42:30	2,182,656	-c----w	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
- 2006-08-14 10:34:41	332,928	-c--a-w	C:\WINDOWS\system32\dllcache\srv.sys
+ 2008-08-28 10:04:17	333,056	-c--a-w	C:\WINDOWS\system32\dllcache\srv.sys
- 2008-03-20 08:03:19	1,845,376	-c--a-w	C:\WINDOWS\system32\dllcache\win32k.sys
+ 2008-09-15 15:37:15	1,846,144	-c--a-w	C:\WINDOWS\system32\dllcache\win32k.sys
- 2008-06-20 10:44:38	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
+ 2008-08-14 09:51:43	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
- 2008-08-02 09:52:26	1,525,072	----a-w	C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-10-15 10:52:13	1,525,072	----a-w	C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-08-26 20:28:12	16,208,504	----a-w	C:\WINDOWS\system32\MRT.exe
+ 2008-10-07 19:19:40	16,721,856	----a-w	C:\WINDOWS\system32\MRT.exe
- 2006-08-17 12:28:44	332,288	----a-w	C:\WINDOWS\system32\netapi32.dll
+ 2008-10-15 16:57:39	332,800	----a-w	C:\WINDOWS\system32\netapi32.dll
- 2008-06-24 07:04:14	84,678	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-28 23:02:55	84,678	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-06-24 07:04:14	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-28 23:02:55	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-06-24 07:04:14	458,924	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-28 23:02:55	458,924	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-06-24 07:04:14	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-28 23:02:55	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
- 2007-11-30 12:39:14	18,808	------w	C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:18:34	18,808	------w	C:\WINDOWS\system32\spmsg.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"asus32"="C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe" [2008-10-29 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\frohni\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 19:08]

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-WinSrv - C:\WINDOWS\system32\ipuxudgl.exe
SSODL-dbmnt-{53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\dbmnt.dll



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 01:44:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-29  1:46:04
ComboFix-quarantined-files.txt  2008-10-29 00:45:50
ComboFix2.txt  2008-10-12 01:21:21

Vor Suchlauf: 8.550.006.784 Bytes frei
Nach Suchlauf: 8,540,995,584 Bytes frei

248	--- E O F ---	2008-10-25 01:01:08

achja, diese meldung bekomme ich noch, falls das von interesse ist:

danke im voraus ;-) ... und sorry für die verspätete meldung!

myrtille · 29.10.2008, 10:59

Hi,
mach mal damit weiter: (bitte bald, sonst vervielfältigt sich das Rogue weiter)
Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

file::
C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
C:\Dokumente und Einstellungen\fwldpl.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

Lutz123 · 29.10.2008, 12:21

so, hier nun die logs, pc wurde nach jedem scan neugestartet und antivir deaktiviert & wlan abgesteckt.

combofix

Code:

ATTFilter

ComboFix 08-10-28.01 - frohni 2008-10-29 11:31:46.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1591 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\frohni\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
C:\Dokumente und Einstellungen\fwldpl.dll
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
C:\Dokumente und Einstellungen\fwldpl.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-29  ))))))))))))))))))))))))))))))
.

2008-10-15 00:34 . 2008-10-15 00:34	1,393	--a------	C:\WINDOWS\imsins.BAK
2008-10-10 12:36 . 2008-10-10 12:36	<DIR>	d--------	C:\WINDOWS\Content.IE5
2008-10-10 12:07 . 2008-10-10 12:07	<DIR>	d--------	C:\Programme\Yahoo!
2008-10-10 12:07 . 2008-10-10 12:07	<DIR>	d--------	C:\Programme\CCleaner
2008-10-10 02:04 . 2008-10-10 02:04	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-10 01:40 . 2007-09-29 10:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 01:40 . 2008-10-29 11:33	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 01:40 . 2008-10-10 01:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-10 01:35 . 2008-10-12 13:04	2,736	--a------	C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Azureus
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Apple Computer
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Ahead
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\ACD Systems
2008-10-28 23:05	---------	d-----w	C:\Programme\Trillian
2008-10-23 08:04	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\OpenOffice.org2
2008-10-12 11:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-09 22:50	---------	d-----w	C:\Programme\Opera
2008-10-02 13:00	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\uTorrent
2008-09-23 22:25	---------	d-----w	C:\Programme\uTorrent
2008-09-15 15:37	1,846,144	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-13 15:51	---------	d-----w	C:\Programme\DAEMON Tools Pro
2008-09-13 15:09	---------	d-----w	C:\Programme\Nokia
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08	---------	d-----w	C:\Programme\PC Connectivity Solution
2008-09-13 15:08	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Nokia
2008-09-07 11:00	---------	d-----w	C:\Programme\Xvid
2008-09-07 10:59	---------	d-----w	C:\Programme\DivX
2008-09-07 10:54	---------	d-----w	C:\Programme\QuickTime
2008-09-07 10:53	---------	d-----w	C:\Programme\Apple Software Update
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-28 10:04	333,056	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 07:07	3,532	----a-w	C:\drmHeader.bin
2008-08-14 13:42	2,138,624	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42	2,018,304	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 22:02	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02	3,596,288	-c--a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58	161,096	-c--a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-26 22:07	28,460,240	----a-w	C:\Dokumente und Einstellungen\frohni\DesktopEXP_mio_tc.zip
2008-01-20 00:38	191,761,053	----a-w	C:\Dokumente und Einstellungen\frohni\ede6.zip
2007-11-18 20:37	32	-c--a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48	32,768	-c--a-r	C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((((   snapshot_2008-10-29_ 1.45.19,85   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-28 23:02:55	84,678	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-29 10:24:11	84,678	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-10-28 23:02:55	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-29 10:24:11	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-10-28 23:02:55	458,924	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-29 10:24:11	458,924	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-10-28 23:02:55	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-29 10:24:11	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\frohni\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 14336]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 19:08]

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-asus32 - C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 11:34:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-29 11:36:23
ComboFix-quarantined-files.txt  2008-10-29 10:36:01
ComboFix2.txt  2008-10-29 00:46:05
ComboFix3.txt  2008-10-12 01:21:21

Vor Suchlauf: 8.510.259.200 Bytes frei
Nach Suchlauf: 8,494,718,976 Bytes frei

196	--- E O F ---	2008-10-25 01:01:08

Lutz123 · 29.10.2008, 12:22

gmer

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-29 11:50:37
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT    sptd.sys                                                                                                ZwCreateKey [0xB9EBE0D0]
SSDT    BA73135C                                                                                                ZwCreateThread
SSDT    sptd.sys                                                                                                ZwEnumerateKey [0xB9EC3FB2]
SSDT    sptd.sys                                                                                                ZwEnumerateValueKey [0xB9EC4340]
SSDT    sptd.sys                                                                                                ZwOpenKey [0xB9EBE0B0]
SSDT    BA731348                                                                                                ZwOpenProcess
SSDT    BA73134D                                                                                                ZwOpenThread
SSDT    sptd.sys                                                                                                ZwQueryKey [0xB9EC4418]
SSDT    sptd.sys                                                                                                ZwQueryValueKey [0xB9EC4298]
SSDT    sptd.sys                                                                                                ZwSetValueKey [0xB9EC44AA]
SSDT    BA731357                                                                                                ZwTerminateProcess
SSDT    BA731352                                                                                                ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?       C:\WINDOWS\system32\drivers\sptd.sys                                                                    Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text   USBPORT.SYS!DllUnload                                                                                   B850062C 5 Bytes  JMP 8A3D0770 
?       System32\Drivers\ayt96d8b.SYS                                                                           Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT     atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                      [B9EBEAD4] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                              [B9EBEC1A] sptd.sys
IAT     atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                     [B9EBEB9C] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                             [B9EBF748] sptd.sys
IAT     atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                     [B9EBF61E] sptd.sys
IAT     \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                      [B9ED429A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                  8A61A1E8
Device  \Driver\usbuhci \Device\USBPDO-0                                                                        8A3D3790
Device  \Driver\dmio \Device\DmControl\DmIoDaemon                                                               8A68E1E8
Device  \Driver\dmio \Device\DmControl\DmConfig                                                                 8A68E1E8
Device  \Driver\dmio \Device\DmControl\DmPnP                                                                    8A68E1E8
Device  \Driver\dmio \Device\DmControl\DmInfo                                                                   8A68E1E8
Device  \Driver\usbuhci \Device\USBPDO-1                                                                        8A3D3790
Device  \Driver\usbehci \Device\USBPDO-2                                                                        8A40E1E8
Device  \Driver\usbuhci \Device\USBPDO-3                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBPDO-4                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBPDO-5                                                                        8A3D3790
Device  \Driver\PCI_NTPNP0788 \Device\00000049                                                                  sptd.sys
Device  \Driver\usbehci \Device\USBPDO-6                                                                        8A40E1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                  8A61D1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume2                                                                  8A61D1E8
Device  \Driver\Cdrom \Device\CdRom0                                                                            8A32E1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume3                                                                  8A61D1E8
Device  \Driver\Cdrom \Device\CdRom1                                                                            8A32E1E8
Device  \Driver\atapi \Device\Ide\IdePort0                                                                      8A68D1E8
Device  \Driver\atapi \Device\Ide\IdePort1                                                                      8A68D1E8
Device  \Driver\atapi \Device\Ide\IdePort2                                                                      8A68D1E8
Device  \Driver\atapi \Device\Ide\IdePort3                                                                      8A68D1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume4                                                                  8A61D1E8
Device  \Driver\Cdrom \Device\CdRom2                                                                            8A32E1E8
Device  \Driver\Cdrom \Device\CdRom3                                                                            8A32E1E8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                 8931A790
Device  \Driver\NetBT \Device\NetbiosSmb                                                                        8931A790
Device  \Driver\usbuhci \Device\USBFDO-0                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBFDO-1                                                                        8A3D3790
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                       892F7790
Device  \Driver\usbehci \Device\USBFDO-2                                                                        8A40E1E8
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                             892F7790
Device  \Driver\usbuhci \Device\USBFDO-3                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBFDO-4                                                                        8A3D3790
Device  \Driver\Ftdisk \Device\FtControl                                                                        8A61D1E8
Device  \Driver\usbuhci \Device\USBFDO-5                                                                        8A3D3790
Device  \Driver\usbehci \Device\USBFDO-6                                                                        8A40E1E8
Device  \Driver\Pnp680r \Device\Scsi\Pnp680r1Port0Path0Target0Lun0                                              8A61C1E8
Device  \Driver\ayt96d8b \Device\Scsi\ayt96d8b1                                                                 8A2726F8
Device  \Driver\ayt96d8b \Device\Scsi\ayt96d8b1Port6Path0Target1Lun0                                            8A2726F8
Device  \Driver\JRAID \Device\Scsi\JRAID1Port5Path0Target1Lun0                                                  8A61B1E8
Device  \Driver\Pnp680r \Device\Scsi\Pnp680r1                                                                   8A61C1E8
Device  \Driver\ayt96d8b \Device\Scsi\ayt96d8b1Port6Path0Target0Lun0                                            8A2726F8
Device  \Driver\JRAID \Device\Scsi\JRAID1Port5Path0Target0Lun0                                                  8A61B1E8
Device  \Driver\Pnp680r \Device\Scsi\Pnp680r1Port0Path0Target1Lun0                                              8A61C1E8
Device  \Driver\JRAID \Device\Scsi\JRAID1                                                                       8A61B1E8
Device  \FileSystem\Cdfs \Cdfs                                                                                  894D2790

---- Registry - GMER 1.0.14 ----

Reg     HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\000ea131835d                                 
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                            
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                         C:\Programme\Alcohol Soft\Alcohol 120\
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                         1
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                      0x6E 0x93 0xAA 0x7E ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                   
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                0x20 0x01 0x00 0x00 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew             0xB2 0x38 0x03 0xCA ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40            
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew      0x7F 0x9B 0x92 0xE5 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41            
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew      0xB0 0x80 0x9F 0x25 ...
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                            
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                         0
Reg     HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                      0x25 0xB2 0x87 0x2D ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea131835d                             
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea131835d@001e3a27f2a8                0x29 0x5A 0x61 0xB4 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                      771343423
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                      285507792
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                      2
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                        
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                     C:\Programme\Alcohol Soft\Alcohol 120\
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                     1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                  0xDE 0x84 0xB3 0xCF ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001               
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0            0x20 0x01 0x00 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew         0xB2 0x38 0x03 0xCA ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40        
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew  0x7F 0x9B 0x92 0xE5 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41        
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew  0x7F 0x9B 0x92 0xE5 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                        
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                     0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                  0x25 0xB2 0x87 0x2D ...
Reg     HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ea131835d                                 
Reg     HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ea131835d@001e3a27f2a8                    0x29 0x5A 0x61 0xB4 ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                            
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                         C:\Programme\Alcohol Soft\Alcohol 120\
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                         1
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                      0xDE 0x84 0xB3 0xCF ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                   
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                0x20 0x01 0x00 0x00 ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew             0xB2 0x38 0x03 0xCA ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40            
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew      0x7F 0x9B 0x92 0xE5 ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41            
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew      0x7F 0x9B 0x92 0xE5 ...
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                            
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                         0
Reg     HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                      0x25 0xB2 0x87 0x2D ...
Reg     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                   
Reg     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OOSAFEERASE03.00.00.01MSWINDOWS                   4F214954415B130A79FC545C454AE95EA54F520A9D7C0AB11F7112F702A82D3522B18B7F08406B5846A5F819EB0DE8B32F0D2058315AD40E1042066E0A2C3C6403C06043190FA88B2B35629D79EF955DAD1ED2D41E0727F7EF827519FDD0C58F2E31434C0F9A7544E494F2E6139C8E1AFC16516DB7A6B572D58D6BF77D52B2991BC7044A76588FE86214DD76D5E38773A76C5595C68048438CA446101E12812B6DAC4672536249224964AC51CEB648B1F17DEBC386813AF6126C3868E715C231836F027C99F5885CF11D3D0102ACAA62CF8678F1A6B87DDB196C4A0C59851B5AEB808326B4F5C848E9B7BD94658020596BABAE9E4BDA95068891548BE2FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933BA7FD869164D6794A2D97226D213B555FEBC9E127BECC74C1BEE91DA0759D08D61B05C54F54306C51A12F717DA264F11BF131AEB357C5D090494249C51643DBD845728753B4E5FA9784C742045EEAFE404B931C2130C39B70FA393F6C3145D743193940B9F849E272C23499C59286E8C73623677E5951D65CC85C8CB5C14498C7462CDB466B8EAE65946828845E7E51F6D93B6816496B43675B3F23179E71B547CD34143B9127005CAFA72121B9BF1A771E6020FA7DEACBE62BD84705E64F0121F0D223E250B5E94EC9BA

---- EOF - GMER 1.0.14 ----

Lutz123 · 29.10.2008, 12:23

catchme

Code:

ATTFilter

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 11:53:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\000ea131835d]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:6e,93,aa,7e,58,4e,9d,30,d7,60,5f,62,fd,e1,c7,78,92,fe,2e,de,9a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:25,b2,87,2d,eb,b3,47,8c,07,6f,80,89,1b,1f,38,f5,ab,7a,98,7f,c2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea131835d]
"001e3a27f2a8"=hex:29,5a,61,b4,bd,69,40,7b,1f,97,6e,1a,ec,32,20,66
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:de,84,b3,cf,3b,c8,a7,3b,63,a8,b5,93,a0,8d,d0,4a,e9,41,7a,0f,6f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:25,b2,87,2d,eb,b3,47,8c,07,6f,80,89,1b,1f,38,f5,ab,7a,98,7f,c2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ea131835d]
"001e3a27f2a8"=hex:29,5a,61,b4,bd,69,40,7b,1f,97,6e,1a,ec,32,20,66
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:de,84,b3,cf,3b,c8,a7,3b,63,a8,b5,93,a0,8d,d0,4a,e9,41,7a,0f,6f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:25,b2,87,2d,eb,b3,47,8c,07,6f,80,89,1b,1f,38,f5,ab,7a,98,7f,c2,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Lutz123 · 29.10.2008, 12:24

rootkitreveal

Code:

ATTFilter

HKU\.DEFAULT\Control Panel\International	29.10.2008 11:36	0 bytes	Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo	29.10.2008 11:36	0 bytes	Security mismatch.
HKU\S-1-5-21-682003330-1844823847-2147090535-1003\Control Panel\International	29.10.2008 11:36	0 bytes	Security mismatch.
HKU\S-1-5-21-682003330-1844823847-2147090535-1003\Control Panel\International\Geo	29.10.2008 11:36	0 bytes	Security mismatch.
HKU\S-1-5-21-682003330-1844823847-2147090535-1003	01.01.1601 01:00	0 bytes	Error dumping hive: Internal error.
HKU\S-1-5-18\Control Panel\International	29.10.2008 11:36	0 bytes	Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo	29.10.2008 11:36	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	29.09.2007 11:24	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	29.09.2007 11:24	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	29.10.2008 12:01	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\	22.05.2008 17:54	19 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*	20.10.2007 18:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg	27.01.2008 17:01	0 bytes	Access is denied.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	05.01.2008 23:23	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	05.01.2008 23:23	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	05.01.2008 23:23	8.00 KB	Visible in Windows API, but not in MFT or directory index.

myrtille · 29.10.2008, 12:50

Die Logs sehen soweit ok aus, wie gehts dem Rehcner?

lg myrtille

Lutz123 · 29.10.2008, 12:52

bis jetzt ganz gut, noch kam keine meldung o.ä. auf.
muss ich befürchten das noch etwas drauf sein könnte bzw. im "hintergrund" ist?

myrtille · 29.10.2008, 13:12

Hi,

die Möglichkeit, das irgendwo etwas unbemerkt bleibt, besteht leider immer.
Wir haben jetzt schon sehr genau hingeguckt, und es ist derzeit nichts mehr zu sehen.

Deswegen würde ich annehmen, dass du nun sauber bist. Wenn du wirklich jedes Risiko ausschließen willst, dann empfiehlt sich ein Neuaufsetzen.

Ansonsten mache bitte mit folgendem weiter:

Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst.
Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates.
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg myrtille

Lutz123 · 29.10.2008, 13:27

okay, combofix ist deinstalliert, windows updates sind auch alle drauf.

gibt es noch software-empfehlungen (freeware), die einen vor so etwas schützen? antivir & die windows-firewall, haben anscheinend nicht gelangt.

die neuaufsetzung des systems wollte ich mir eigentlich ersparen, deshalb ruhte meine hoffnung hier drauf

danke nochmals, für die prompte hilfe!

29.10.2008, 12:50	#12
myrtille /// TB-Ausbilder	unerklärliche warnmeldung - trojaner verdacht Die Logs sehen soweit ok aus, wie gehts dem Rehcner? lg myrtille __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly!

unerklärliche warnmeldung - trojaner verdacht

Plagegeister aller Art und deren Bekämpfung: unerklärliche warnmeldung - trojaner verdacht