Guten Abend an alle,
ich habe ein kleines Problem.
Seit 1~2 Tagen meldet mir AntiVir das ich Malware in der versiond.dll habe.
Natürlich habe ich mich erst über google schlau gemacht, und habe gesehen das es oft eine Fehlmeldung sein kann.
Mein Rechner ist seit ca 2~ wochen erst neu aufgesetzt und ich hoffe das ich das nich wieder machen muss =x

Hier mal das HJT File

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:23, on 11.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hama\Common\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6215 bytes
         

Ich hoffe auf eure schnelle Hilfe, und danke schomal =O


PS: Werd die Datei mal nebenbei online überprüfen und reinediten ob da was bei rauskommt.

Edit: http://www.virustotal.com/de/analisi...9539953159b17a

Überprüfung der Datei

Edit2: Neue Datei, gleiches Problem, diese hat sich im Laufwerk C eingenistet

http://www.virustotal.com/de/analisi...b603eaa9f99b1f

Hallo und

Das Logfile ist sauber, allerdings solltest Du unbedingt das SP3 installieren!
Mach zuvor bitte aber einen Durchlauf mit Malwarebytes Antimalware, danach sehen wir weiter.

Zitat:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1383
Windows 5.1.2600 Service Pack 2

11.11.2008 18:39:20
mbam-log-2008-11-11 (18-39-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 97269
Laufzeit: 22 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Mal nen kleiner Nachtrag da ich nich mehr editen konnt,
Tüdelü~ oo

Edit: Ah da war jah ne Antwort =D

Hatte des schon am Durchlaufen und nu isses drin.
SP3 werd ich dann mal morgen installieren~

Kann ich das den i-wie einstellen das antivir aufhört Amok zu laufen?

Wo ist diese Datei, direkt auf C:\ also im Stammverzeichnis?
Was steht da bei Version wenn Du die Datei rechtsklickst und dort bei Eigenschaften klickst?

Sitzt direkt im Stammverzeichnes, wo auch Programme und co Ordner liegen.
hat sich mittlerweile auch selbstständig umbenannt in ARKB4.tmp

Dateiversion steht 1.0.0.1

edit: Und falls du die versiond.dll meinst die sitzt im sys32 ordner =O

Steht da kein Hersteller?
Das ist schon ziemlich malware-like so ein verhalten. Mach mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

hallo.

ich hab da ein ähnliches problem.
aber bei mir handelt es sich um die datei winsrv32.dll

nachdem ich die datei geschätzte 100 mal in die quarantäne verschoben hatte, hab ich heute mal gegenmaßnahmen eingeleitet. leider bin ich nicht so erfahren auf dem gebiet.

aber erst noch: das ganze fing vor 5 tagen an, erst als meldung HEUR/Maleware, heute wurde das ganze (nachm antivir update) zu einem TR/Hijack.AE1

jedenfalls hab ich mir das programm Spybot und das programm a-squared runtergeladen und durchlaufen lassen.
bei beiden wurde der trojaner mehrmals erkannt, und am ende auch gelöscht.

nun das was ich nicht verstehe:
wenn ich jetzt das spybot erneut durchlaufen lasse, bekomme ich zwischendurch die antivir meldung, "antivir guard - achtung fund" mit den üblichen optionen quarantäne, löschen usw. bin dann immer auf löschen gegangen. jedoch sagte mir dann spyware nach dem suchlauf, dass ich keine trojaner drauf habe.
warum bekomm ich dann mit jedem suchlauf wieder diese meldungen?

naja, dann hab ich nochmal antivir ne systemprüfung machen lassen.
auch dort hat antivir die datei nochmals gefunden, und dann scheinbar halbwegs ordentlich entfehrnt.

im bericht stand dann folgendes:

[quote]Die Datei 'C:\ARK7.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Hijack.AE.1' [trojan].
Durchgeführte Aktion(en):
Die Datei konnte nicht gelöscht werden!
Systemfehler [32]: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
Die Datei wurde gelöscht.[/qoute]

und tata, die anderen beiden programme meckern nicht mehr über die winsrv32 datei.

aaaber, scheinbar hat antivir das ganze nur verplanzt.
denn nun hab ich direkt auf C:\ die datei: ARK33.tmp
wenn ich diese anklicke, bekomme ich erneut antivir meldung. dann geh ich auf zugriff verweigern und lasse die finger davon.
jedenfalls finden nun die beiden spyware programme auch nichts mehr.

sry dass das ganze etwas wirr beschrieben ist, aber wie gesagt, bin laie auf dem gebiet
was soll ich jetzt tun? ist die neuaufsetzung des systems unausweichlich?
vllt noch wichtig zu wissen - der rechner ist erst 3 wochen alt.


dann noch eine andere etwas ot frage:
ich habe beim spybot wie empfohlen alles immunisiert. seit dem sind meine möglichkeiten im browser irgendwie eingeschränkt kann zB hier nicht einfach den text markieren und auf zitat gehen. muss das [ quote ] usw alles von hand schreiben. auch smileys lassen sich nicht wie gewohnt durch anklicken einfügen.

naja, hoffe ihr könnt mir irgendwie weiterhelfen.

gruß, dermoo

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-11-11.01 - XXX 2008-11-12 19:47:43.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.724 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-12 bis 2008-11-12  ))))))))))))))))))))))))))))))
.

2008-11-12 16:12 . 2008-11-12 16:12	<DIR>	d--------	c:\programme\SweetIM
2008-11-12 16:12 . 2008-11-12 16:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2008-11-12 09:37 . 2008-10-24 12:10	453,632	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 09:36 . 2008-09-04 17:43	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll
2008-11-11 18:15 . 2008-11-11 18:15	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-11 18:15 . 2008-11-11 18:15	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-11-11 18:15 . 2008-11-11 18:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-11 18:15 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-11 18:15 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-11 17:20 . 2008-11-11 17:20	19,456	--a------	c:\windows\system32\versiond.dll
2008-11-10 19:55 . 2008-10-31 18:25	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Vorlagen
2008-11-10 19:55 . 2008-10-31 18:11	<DIR>	dr-------	c:\dokumente und einstellungen\Boss\Startmenü
2008-11-10 19:55 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Netzwerkumgebung
2008-11-10 19:55 . 2008-11-12 19:48	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Lokale Einstellungen
2008-11-10 19:55 . 2008-11-10 19:55	<DIR>	dr-------	c:\dokumente und einstellungen\Boss\Favoriten
2008-11-10 19:55 . 2008-11-10 19:55	<DIR>	dr-------	c:\dokumente und einstellungen\Boss\Eigene Dateien
2008-11-10 19:55 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Druckumgebung
2008-11-10 19:55 . 2008-11-12 18:39	<DIR>	dr-h-----	c:\dokumente und einstellungen\Boss\Anwendungsdaten
2008-11-10 19:55 . 2008-11-10 19:55	<DIR>	d--------	c:\dokumente und einstellungen\Boss
2008-11-10 18:09 . 2008-11-10 18:09	<DIR>	d--------	c:\programme\CCleaner
2008-11-10 18:08 . 2008-11-10 18:08	893,096	--a------	c:\dokumente und einstellungen\All Users\ccsetup213_slim.exe
2008-11-09 21:58 . 2008-11-09 21:58	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Zylom
2008-11-09 21:58 . 2008-11-09 21:58	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\BloodTies
2008-11-09 21:58 . 2008-11-09 21:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom
2008-11-09 21:57 . 2008-11-09 21:57	<DIR>	d--------	c:\programme\Zylom Games
2008-11-09 13:57 . 2008-11-10 13:19	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2008-11-09 13:46 . 2008-11-09 13:46	<DIR>	d--------	C:\WAVTOMP3
2008-11-09 13:10 . 2008-11-09 13:10	<DIR>	d--------	c:\programme\CDBurnerXP
2008-11-09 13:10 . 2008-11-09 13:10	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Canneverbe_Limited
2008-11-05 18:38 . 2008-11-05 18:38	2,422	--a------	c:\windows\system32\wpa.bak
2008-11-05 13:26 . 2004-08-03 23:08	31,616	--a------	c:\windows\system32\drivers\usbccgp.sys
2008-11-05 13:26 . 2004-08-03 23:08	31,616	--a--c---	c:\windows\system32\dllcache\usbccgp.sys
2008-11-05 11:31 . 2008-11-05 11:31	<DIR>	d--------	c:\programme\Winamp Toolbar
2008-11-05 11:31 . 2008-11-05 11:31	<DIR>	d--------	c:\programme\Winamp Remote
2008-11-05 11:31 . 2008-11-05 11:31	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-11-05 11:31 . 2008-11-05 11:32	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-11-05 11:29 . 2008-11-05 11:31	<DIR>	d--------	c:\programme\Winamp
2008-11-05 11:29 . 2008-11-05 14:45	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2008-11-05 11:10 . 2008-11-05 11:10	<DIR>	d--------	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-05 11:10 . 2008-11-05 11:10	<DIR>	d--------	c:\programme\DVDVideoSoft
2008-11-05 11:10 . 2008-11-12 17:56	<DIR>	d--------	C:\DVDVideoSoft
2008-11-05 11:10 . 2002-01-05 15:37	344,064	--a------	c:\windows\system32\msvcr70.dll
2008-11-03 18:14 . 2004-08-04 00:57	221,184	--a------	c:\windows\system32\wmpns.dll
2008-11-03 18:12 . 2008-10-03 17:58	6,066,176	-----c---	c:\windows\system32\dllcache\ieframe.dll
2008-11-03 18:12 . 2007-04-17 10:32	2,455,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dat
2008-11-03 18:12 . 2007-03-08 06:09	1,040,384	-----c---	c:\windows\system32\dllcache\ieframe.dll.mui
2008-11-03 18:12 . 2008-08-26 08:57	459,264	-----c---	c:\windows\system32\dllcache\msfeeds.dll
2008-11-03 18:12 . 2008-08-26 08:57	383,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dll
2008-11-03 18:12 . 2008-08-26 08:57	267,776	-----c---	c:\windows\system32\dllcache\iertutil.dll
2008-11-03 18:12 . 2008-08-26 08:57	63,488	-----c---	c:\windows\system32\dllcache\icardie.dll
2008-11-03 18:12 . 2008-08-26 08:57	52,224	-----c---	c:\windows\system32\dllcache\msfeedsbs.dll
2008-11-03 18:12 . 2008-08-25 09:38	13,824	-----c---	c:\windows\system32\dllcache\ieudinit.exe
2008-11-03 18:11 . 2008-11-03 18:13	<DIR>	d--------	c:\windows\system32\de-de
2008-11-03 18:08 . 2007-08-13 18:54	33,792	--a--c---	c:\windows\system32\dllcache\custsat.dll
2008-11-03 18:03 . 2008-11-03 18:03	<DIR>	d--hs----	c:\dokumente und einstellungen\XXX\UserData
2008-11-03 17:06 . 2008-11-03 18:03	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Contacts
2008-11-03 17:04 . 2008-11-03 17:04	<DIR>	d--------	c:\programme\Microsoft SQL Server Compact Edition
2008-11-03 17:03 . 2008-11-03 17:04	<DIR>	d--------	c:\programme\Windows Live Toolbar
2008-11-03 17:03 . 2008-11-03 17:03	<DIR>	d--------	c:\programme\Windows Live Favorites
2008-11-03 16:56 . 2008-11-03 16:56	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\MSN6
2008-11-03 16:56 . 2008-11-03 16:56	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2008-11-02 17:22 . 2008-11-02 17:22	<DIR>	d--------	c:\programme\Sun
2008-11-02 17:22 . 2008-11-02 17:21	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-02 17:22 . 2008-11-02 17:21	73,728	--a------	c:\windows\system32\javacpl.cpl
2008-11-02 17:21 . 2008-11-02 17:21	<DIR>	d--------	c:\programme\Java
2008-11-02 16:13 . 2008-11-11 20:16	<DIR>	d--------	c:\programme\Warcraft III
2008-11-01 18:08 . 2007-07-30 19:19	271,224	--a------	c:\windows\system32\mucltui.dll
2008-11-01 18:08 . 2007-07-30 19:19	207,736	--a------	c:\windows\system32\muweb.dll
2008-11-01 18:08 . 2007-07-30 19:18	30,072	--a------	c:\windows\system32\mucltui.dll.mui
2008-11-01 16:52 . 2008-10-31 18:25	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Vorlagen
2008-11-01 16:52 . 2008-10-31 18:11	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Startmenü
2008-11-01 16:52 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Netzwerkumgebung
2008-11-01 16:52 . 2008-11-12 19:48	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Lokale Einstellungen
2008-11-01 16:52 . 2008-11-06 13:43	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Favoriten
2008-11-01 16:52 . 2008-11-06 13:43	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Eigene Dateien
2008-11-01 16:52 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Druckumgebung
2008-11-01 16:52 . 2008-11-01 16:54	<DIR>	dr-h-----	c:\dokumente und einstellungen\XXX\Anwendungsdaten
2008-11-01 16:52 . 2008-11-10 18:11	<DIR>	d--------	c:\dokumente und einstellungen\XXX
2008-11-01 15:47 . 2008-11-01 15:48	<DIR>	d--------	c:\programme\PopCap Games
2008-11-01 15:47 . 2008-11-01 16:08	16	--a------	c:\windows\popcinfot.dat
2008-11-01 15:47 . 2008-11-01 15:47	0	--a------	c:\windows\popcreg.dat
2008-11-01 12:18 . 2008-11-01 12:18	<DIR>	d--------	c:\programme\Warkeys
2008-11-01 12:16 . 2008-11-01 12:16	<DIR>	d--------	c:\windows\Logs
2008-11-01 12:15 . 2008-11-01 12:16	<DIR>	d--------	C:\DirectX 9 c
2008-11-01 11:56 . 2008-11-02 17:48	150,758	--a------	c:\windows\War3Unin.dat
2008-11-01 11:56 . 2008-11-02 16:22	139,264	--a------	c:\windows\War3Unin.exe
2008-11-01 11:56 . 2008-11-02 16:22	2,829	--a------	c:\windows\War3Unin.pif
2008-11-01 11:48 . 2008-11-01 21:07	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-11-01 11:44 . 2008-11-01 11:44	<DIR>	d--------	c:\windows\Downloaded Installations
2008-11-01 11:44 . 2008-11-01 11:44	<DIR>	d--------	c:\programme\Broadcom
2008-11-01 11:43 . 2008-11-01 11:43	<DIR>	d--------	c:\programme\Intel
2008-11-01 11:41 . 2008-11-01 11:41	<DIR>	d--------	C:\dell
2008-11-01 11:41 . 2002-11-15 11:14	5	--a------	c:\windows\system32\drivers\DELL_DIM_5000.MRK
2008-11-01 11:41 . 2002-11-15 11:14	5	--a------	c:\windows\system32\drivers\1028_DELL_DIM_5000.MRK
2008-11-01 11:03 . 2008-11-01 11:04	<DIR>	d--------	c:\programme\Messenger Plus! Live
2008-11-01 11:01 . 2008-11-01 11:16	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2008-11-01 11:00 . 2008-08-14 14:42	2,138,624	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-01 11:00 . 2008-08-28 11:04	333,056	-----c---	c:\windows\system32\dllcache\srv.sys
2008-11-01 11:00 . 2008-06-14 18:57	273,024	-----c---	c:\windows\system32\dllcache\bthport.sys
2008-11-01 11:00 . 2008-08-14 10:51	138,368	-----c---	c:\windows\system32\dllcache\afd.sys
2008-11-01 10:59 . 2008-08-14 14:42	2,182,656	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-01 10:59 . 2008-08-14 14:42	2,060,032	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-01 10:59 . 2008-08-14 14:42	2,018,304	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-01 10:59 . 2008-09-15 16:37	1,846,144	-----c---	c:\windows\system32\dllcache\win32k.sys
2008-11-01 10:59 . 2008-04-11 19:50	683,520	-----c---	c:\windows\system32\dllcache\inetcomm.dll
2008-11-01 10:59 . 2008-05-01 15:30	331,776	-----c---	c:\windows\system32\dllcache\msadce.dll
2008-11-01 10:58 . 2008-11-01 10:58	<DIR>	d---s----	c:\dokumente und einstellungen\XXX\UserData
2008-11-01 10:58 . 2008-10-15 17:57	332,800	-----c---	c:\windows\system32\dllcache\netapi32.dll
2008-10-31 21:29 . 2008-11-12 12:48	<DIR>	d--h-----	c:\windows\$hf_mig$
2008-10-31 21:15 . 2008-10-31 21:15	<DIR>	d--------	c:\programme\ICQ6Toolbar
2008-10-31 21:15 . 2008-10-31 21:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-10-31 21:14 . 2008-10-31 21:18	<DIR>	d--------	c:\programme\ICQ6
2008-10-31 21:14 . 2008-10-31 21:18	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ
2008-10-31 21:03 . 2008-10-31 18:25	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Vorlagen
2008-10-31 21:03 . 2008-10-31 18:11	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Startmenü
2008-10-31 21:03 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Netzwerkumgebung
2008-10-31 21:03 . 2008-11-12 19:48	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Lokale Einstellungen
2008-10-31 21:03 . 2008-11-03 18:12	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Favoriten
2008-10-31 21:03 . 2008-11-03 18:12	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Eigene Dateien
2008-10-31 21:03 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Druckumgebung
2008-10-31 21:03 . 2008-11-09 21:58	<DIR>	dr-h-----	c:\dokumente und einstellungen\XXX\Anwendungsdaten
2008-10-31 21:03 . 2008-11-12 18:03	<DIR>	d-a------	c:\dokumente und einstellungen\XXX
2008-10-31 20:53 . 2008-11-01 10:57	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Contacts
2008-10-31 20:46 . 2008-11-03 20:39	<DIR>	d--------	c:\programme\Windows Live
2008-10-31 20:46 . 2008-10-31 20:51	<DIR>	d--hsc---	c:\programme\Gemeinsame Dateien\WindowsLiveInstaller

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-07 20:31	1,538,560	----a-w	c:\windows\Internet Logs\xDB2.tmp
2008-11-01 10:44	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-01 10:44	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-10-31 19:35	409,600	----a-w	c:\windows\system32\wrap_oal.dll
2008-10-31 19:35	114,688	----a-w	c:\windows\system32\OpenAL32.dll
2008-10-31 18:21	36,352	----a-w	c:\windows\Internet Logs\xDB1.tmp
2008-10-31 18:20	---------	d-----w	c:\programme\Avira
2008-10-31 18:20	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-10-31 18:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-10-31 18:13	---------	d-----w	c:\programme\Zone Labs
2008-10-31 18:12	---------	d-----w	c:\programme\Opera
2008-10-31 18:06	21,419	----a-w	c:\windows\system32\drivers\AegisP.sys
2008-10-31 18:06	---------	d-----w	c:\programme\Hama
2008-10-31 17:28	---------	d-----w	c:\programme\microsoft frontpage
2008-10-31 17:27	---------	d-----w	c:\programme\Online-Dienste
2008-10-31 17:26	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-09-15 15:37	1,846,144	----a-w	c:\windows\system32\win32k.sys
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-26 07:57	826,368	----a-w	c:\windows\system32\wininet.dll
2008-08-14 13:42	2,138,624	----a-w	c:\windows\system32\ntoskrnl.exe
2008-08-14 13:42	2,018,304	----a-w	c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22	1172792	--a------	c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-11-11 7311360]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-11-11 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-02 136600]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2008-10-08 111928]
"nwiz"="nwiz.exe" [2005-11-11 c:\windows\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 c:\windows\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2008-10-31 1122304]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-05-09 45376]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-12 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MsnMsgr - ~c:\programme\Windows Live\Messenger\MsnMsgr.Exe


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKLM-Main,Start Page = hxxp://home.sweetim.com
O8 -: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
O8 -: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 19:48:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  MsnMsgr = ~"c:\programme\Windows Live\Messenger\MsnMsgr.Exe" /background? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-12 19:49:21
ComboFix-quarantined-files.txt  2008-11-12 18:49:19

Vor Suchlauf: 13 Verzeichnis(se), 106,718,412,800 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 106,735,964,160 Bytes frei

231	--- E O F ---	2008-11-12 11:49:45
         

Nu is die Datei wieder aus dem Stammverzeichnis raus ._.'

edit: nur die versiond.dll ist nachwievor im sys32 ordner.

Benenn diese versiond.dll in system32 doch einfach mal um in versiond.dll.vir oder sowas. So ist sie entschärft aber noch nicht gelöscht.

Zitat:

Zitat von root24

Benenn diese versiond.dll in system32 doch einfach mal um in versiond.dll.vir oder sowas. So ist sie entschärft aber noch nicht gelöscht.

Done~ oo

Aufjedenfall macht Antivir keine Mucken mehr =O

Bring
Up
My
Post

SP3 is drauf, die versiond.dll hab ich nu auch mit antivir gelöscht, und die datei aus dem Stammverzeichnis is auch weg.
heißt das alles ist in ordnung? oo

Zitat:

Zitat von Naji

...heißt das alles ist in ordnung? oo

Garantieren kann und will ich das nicht. Aber wenn Dein System wieder normal läuft offensichtlich
Falls die Tage /Wochen wieder was auffällt, dann melde es hier.

Alles klar, und danke für die schnelle Hilfe.
Zur Zeit läuft alles wieder einwandfrei.

Und das mit dem wieder melde, naja hoffen wir mal nicht das es wieder nötig sein wird =D

Nochmal danke root24~

So far~ Naji