Hallo an alle!
Seid einiger Zeit, bekomme ich immer wieder Meldungen von Antivir die wie folgt lauten: BDS/TDSS.adb
C:\System Volume Information\...\A0005065 und
BDS/TDSS.JW
C:\System Volume Information\...\A0005064.dll
und noch einige andere die ich leider nicht rauskopieren konnte.
Angefangen hat bei mir glaube ich alles mit diesem Google Virus, den ich zum Glück selbst wegbekommen habe mit dem Programm "Trojan Remover",dennoch habe ich noch Probleme das ich z.B. mit keinem Virus programm Updates ziehen kann, dazu kommt noch das mein PC ab und an erst nach dem 2. mal Starten wirklich hoch fährt.
Ich hoffe das reicht erstmal als beschreibung!
Als BEtriebssystem habe ich Win XP
Hier die Hijack:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:23, on 12.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

--
End of file - 3794 bytes

ach das 2. virus Programm habe ich nur als test drauf da ich ja keine updates mehr machen kann.
ich bedank mich schonmal im vorraus und hoffe das ich alles richtig gemacht habe!

Hallo

1.) Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber

Dort alle Treiber, die mit ADS oder TDS beginnen (vermutlich ist es TDSSserv.sys) deaktivieren
=> Rechner neustarten

2.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):

Code: Alles auswählenAufklappen

ATTFilter

AskBar (Adware)
NOD oder Avira
Trojan Remover
ICQ-Toolbar (falls möglich)
         

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

3.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
         

=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Ein Log von SUPERAntiSpyware posten: http://www.trojaner-board.de/51871-a...tispyware.html

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

sorry aber ich finde keinen treiber der so anfängt. was nun ?
danke schonmal für deine hilfe!

ich hab jetzt einfach schonmal die programme gelöscht (nur Icq Toolbar hat nicht funktioniert) ich weiß nicht ob es hilfrei ist aber ich poste mal die neue HiJack in der hoffnung das es hilft.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:47, on 13.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

--
End of file - 1371 bytes

Na endlich mal ein aufgeräumtes HJT-Log. Schritt 1 und 6 der Liste nicht ausführen. Schritt 3-5 noch ausführen um die Systemwiederherstellung zu säubern und die letzten Reste zu entfernen.

ciao, andreas

So nun müsste ich alles abgearbeitet haben. hier die Logs:

SUPERAntiSpyware Scan Log

Generated 01/14/2009 at 05:08 PM

Application Version : 4.24.1004

Core Rules Database Version : 3688
Trace Rules Database Version: 1664

Scan type : Complete Scan
Total Scan Time : 00:52:11

Memory items scanned : 384
Memory threats detected : 0
Registry items scanned : 3936
Registry threats detected : 2
File items scanned : 72227
File threats detected : 0

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

--------------------------------------------------------------------------
01/13/09 18:46:51 [Info]: BlackLight Engine 2.2.1092 initialized
01/13/09 18:46:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/13/09 18:46:51 [Note]: 7019 4
01/13/09 18:46:51 [Note]: 7005 0
01/13/09 18:47:03 [Note]: 7006 0
01/13/09 18:47:03 [Note]: 7011 1720
01/13/09 18:47:03 [Note]: 7035 0
01/13/09 18:47:03 [Note]: 7026 0
01/13/09 18:47:04 [Note]: 7026 0
01/13/09 18:47:04 [Note]: FSRAW library version 1.7.1024
01/13/09 18:47:30 [Note]: 2000 1012
01/13/09 18:48:09 [Note]: 7007 0

---------------------------------------------------------

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1648
Windows 5.1.2600 Service Pack 2

13.01.2009 19:23:00
mbam-log-2009-01-13 (19-23-00).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 109841
Laufzeit: 32 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Microsoft Common\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Microsoft Common\svchost.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8255.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8265.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Ich hoffe ich habe soweit alles richtig gemacht denn die Tage müsste ich mich nochmal wegen dem Pc meiner Freundin melden ! Danke nochmal für deine bisherige hilfe! ist nun alles weg und müsste mein antivir dann wieder Updaten?
liebe grüße

Du hattest eine Umleitung in der Ukraine drin. Fast mich verblüfft ist, dass sie im HJT-Log nicht angezeigt wurde. Lass ComboFix doch noch laufen.

Zitat:

und müsste mein antivir dann wieder Updaten?

Das musst du mir sagen, da ich meine Kristallkugel gerade verlegt habe.

ciao, andreas

ist es denn auch noch notwendig SUPERAntiSpyware im abgesicherten modus durchlaufen zu lassen?( sorry habe da wirklich keine ahnung von) Ach und die updates funktionieren leider noch nicht.

Ich hoffe du machst kein Internetbanking. Nimm den Rechner vom Netz. Neuaufsetzen ist angesagt. Ändere anschliessend alle deine Kennwörter.

ciao, andreas

hä ist es doch so gravierend? mach kein onlinebanking oder sonst sowas.
hatte auch schon neu aufgesetzt hab dabei halt nur C gelöscht.

Zitat:

hä ist es doch so gravierend?

Ja, leider, auch wenn es am Anfang nicht so aussah.

Zitat:

hatte auch schon neu aufgesetzt hab dabei halt nur C gelöscht.

Dann denke ernsthaft darüber nach, wie du schon wieder infiziert sein kannst.

ciao, andreas

Das einzige was ich gemacht habe war das ich mir die treiber bei Computerbase gezogen hab.Antivir hat von anfang an kein update gemacht.
sollte ich denn alle platten leer räumen ?
Danke für deine hilfe

Lass Combofix laufen und poste das Log. Vielleicht kommen ja Hinweise auf dein Problem. Ich hatte mehrere Fälle, die sich durch externe Datenträger infiziert hattten. Solltest du externe Datenträger haben, dann schliesse sie beim Test mit an.

ciao, andreas

Hier die Log hoffe alles richtig gemacht zu haben.


ComboFix 09-01-13.04 - Administrator 2009-01-14 19:44:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1702 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-14 17:48 . 2009-01-14 17:48 <DIR> d-------- c:\programme\CCleaner
2009-01-13 19:31 . 2009-01-13 19:31 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-13 19:31 . 2009-01-13 19:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-13 19:31 . 2009-01-13 19:31 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-13 19:30 . 2009-01-13 19:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-13 18:48 . 2009-01-13 18:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-13 18:48 . 2009-01-13 18:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-13 18:48 . 2009-01-13 18:48 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-01-13 18:48 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-13 18:48 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-06 19:09 . 2009-01-06 19:09 <DIR> d-------- c:\programme\DVD Decrypter
2009-01-06 19:07 . 2009-01-06 19:07 <DIR> d-------- c:\programme\DVD Shrink DE
2009-01-06 19:07 . 2009-01-06 19:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-01-06 14:23 . 2009-01-06 14:25 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-06 14:20 . 2009-01-13 13:50 <DIR> d-------- c:\programme\Trojan Remover
2009-01-06 14:20 . 2006-05-25 15:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2009-01-06 14:20 . 2003-02-02 20:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2009-01-06 14:20 . 2005-08-26 01:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2009-01-06 14:20 . 2002-03-06 01:00 75,264 --a------ c:\windows\system32\unacev2.dll
2009-01-06 14:20 . 2006-06-19 13:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2009-01-06 14:00 . 2009-01-06 14:00 <DIR> d-------- c:\programme\Avira
2009-01-06 14:00 . 2009-01-06 14:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-03 21:51 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-01-03 21:51 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-01-02 10:48 . 2009-01-02 10:48 27,720 --a------ c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-01-02 10:14 . 2009-01-02 10:14 <DIR> d--h----- c:\windows\PIF
2008-12-31 17:45 . 2008-12-31 17:45 400 --a------ c:\windows\ODBC.INI
2008-12-31 17:44 . 2008-12-31 17:44 <DIR> d-------- c:\windows\ShellNew
2008-12-31 17:37 . 2008-12-31 17:46 <DIR> d-------- c:\programme\Microsoft Works
2008-12-31 17:36 . 2008-12-31 17:36 <DIR> d-------- c:\programme\Microsoft Works Suite 2003
2008-12-29 15:22 . 2009-01-04 01:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2008-12-29 15:09 . 2008-12-29 18:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-12-29 14:28 . 2008-12-29 14:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-29 14:28 . 2008-12-29 14:28 <DIR> d-------- c:\programme\DVDVideoSoft
2008-12-29 14:28 . 2008-12-29 14:29 <DIR> d-------- C:\DVDVideoSoft
2008-12-29 14:28 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2008-12-28 21:15 . 2008-12-28 21:16 <DIR> d-------- c:\programme\DivX
2008-12-28 20:33 . 2008-12-28 20:33 <DIR> d---s---- c:\dokumente und einstellungen\Administrator\UserData
2008-12-21 20:05 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2008-12-20 19:59 . 2008-12-20 19:59 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar
2008-12-20 19:54 . 2008-12-20 19:54 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Verimount
2008-12-20 19:45 . 2008-11-07 18:32 2,109,440 -----c--- c:\windows\system32\dllcache\WMVCore.dll
2008-12-20 19:45 . 2008-06-10 18:18 1,053,696 -----c--- c:\windows\system32\dllcache\WMNetmgr.dll
2008-12-20 19:45 . 2008-06-10 01:31 103,936 -----c--- c:\windows\system32\dllcache\logagent.exe
2008-12-20 19:43 . 2008-12-20 19:45 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-20 19:43 . 2008-10-23 13:59 283,648 -----c--- c:\windows\system32\dllcache\gdi32.dll
2008-12-20 19:39 . 2008-12-20 19:40 <DIR> d-------- C:\UpdatePack-Files
2008-12-20 19:31 . 2009-01-11 01:37 <DIR> d-------- c:\programme\ICQToolbar
2008-12-20 19:29 . 2008-12-20 19:32 <DIR> d-------- c:\programme\ICQ6
2008-12-20 19:29 . 2009-01-11 18:08 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2008-12-20 19:06 . 2008-12-20 19:06 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-12-20 19:05 . 2008-12-20 19:05 <DIR> d-------- c:\programme\VideoLAN

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-20 18:31 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-20 17:39 --------- d-----w c:\programme\ZyXEL
2008-12-20 17:38 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2008-12-20 17:36 --------- d-----w c:\programme\Creative
2008-12-20 17:36 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Creative
2008-12-20 17:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-20 16:51 558,142 ----a-w c:\windows\java\Packages\JVB7ZJFR.ZIP
2008-12-20 16:51 155,995 ----a-w c:\windows\java\Packages\MR7VDFFJ.ZIP
2008-12-20 16:51 --------- d-----w c:\programme\microsoft frontpage
2008-12-20 16:50 --------- d-----w c:\programme\Online-Dienste
2008-12-20 16:50 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-11-21 21:47 9,464 ------w c:\windows\system32\drivers\cdralw2k.sys
2008-11-21 21:47 9,336 ------w c:\windows\system32\drivers\cdr4_xp.sys
2008-11-21 21:47 43,528 ------w c:\windows\system32\drivers\PxHelp20.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-22 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\programme\ICQ6\ICQ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [2008-08-21 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [2008-08-21 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [2008-08-21 566296]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;c:\windows\system32\drivers\WlanUZXP.SYS [2008-12-20 402944]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [2008-08-21 99352]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [2008-08-21 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [2008-08-21 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [2008-08-21 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [2008-08-21 566296]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d04b0974-d075-11dd-81a5-001349715e0b}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - H:\system.exe
\Shell\Open\command - H:\system.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)


.
------- Zusätzlicher Suchlauf -------
.

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cq5oloyk.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 19:45:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-14 19:46:46 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2009-01-14 18:46:43

Vor Suchlauf: 9,922,125,824 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 10,000,461,824 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

171

Das, was ich vermutet habe, ist nicht da. Aber mir scheint die Datei system.exe sehr suspekt. Lasse sie bei www.virustotal.com auswerten und poste die Auswertung oder den Link. Was ist das Laufwerk H:?

ciao, andreas

kenn das laufwerk H: eigentlich nicht. könnte sein das es ein eigespeicherter USB-Stick ist? wo finde ich denn die system.exe ?