clbcat.dll und andere Trojaner-System noch zu retten?

donnico · 05.02.2009, 18:38

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1731
Windows 5.1.2600 Service Pack 3

05.02.2009 18:36:10
mbam-log-2009-02-05 (18-36-05).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 57652
Laufzeit: 5 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8e91869e-ebdc-4658-a6c6-df266e84fb5a} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\clbcat.dll (Trojan.BHO.H) -> No action taken.

john.doe · 05.02.2009, 18:53

Hallo,

Klicke mir.

ciao, andreas

donnico · 05.02.2009, 19:13

danke für deine hilfe andreas
hier der log:
ComboFix 09-02-04.04 - Nico 2009-02-05 18:48:32.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.446.174 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Nico\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
AV: BitDefender Antivirus *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509C.manifest
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509O.manifest
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509P.manifest
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\02000000ad6c8a06509S.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502C.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502O.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502P.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06502S.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509C.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509O.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509P.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\02000000ad6c8a06509S.manifest
c:\dokumente und einstellungen\Nico\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\ukasayw.dat
c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\ukasayw_nav.dat
c:\dokumente und einstellungen\Nico\Lokale Einstellungen\Anwendungsdaten\ukasayw_navps.dat
c:\programme\Mozilla Firefox\components\nsadzgalore.dll
c:\windows\GnuHashes.ini
c:\windows\regedit.com
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest
c:\windows\system32\GroupPolicyManifest\1.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest\2.crack.zip
c:\windows\system32\GroupPolicyManifest\2.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest\3.video.zip
c:\windows\system32\GroupPolicyManifest\3.video.zip.kwd
c:\windows\system32\GroupPolicyManifest\4.setup.zip
c:\windows\system32\GroupPolicyManifest\4.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest\5.unpack.zip
c:\windows\system32\GroupPolicyManifest\5.unpack.zip.kwd
c:\windows\system32\taskmgr.com
c:\windows\system32\clbcat.dll . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.

2009-02-04 15:44 . 2009-02-04 15:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 14:56 . 2009-02-04 14:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-03 22:28 . 2009-02-03 22:27 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-03 22:28 . 2009-02-03 22:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-02 23:35 . 2009-02-02 23:35 250 --a------ c:\windows\gmer.ini
2009-02-02 23:14 . 2009-02-02 23:14 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-02 23:13 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-02 23:08 . 2009-02-05 18:57 <DIR> d-------- c:\programme\Autorun Eater
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:04 . 2009-02-03 13:25 <DIR> d-------- c:\programme\NCH Swift Sound
2009-02-02 23:04 . 2009-02-02 23:04 <DIR> d-------- c:\programme\NCH Software
2009-02-02 21:13 . 2009-02-03 13:26 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Bitdefender
2009-02-02 18:15 . 2009-02-02 21:04 81,984 --a------ c:\windows\system32\bdod.bin
2009-02-02 17:41 . 2009-02-02 17:41 850 --a------ c:\windows\system32\ProductTweaks.xml
2009-02-02 17:41 . 2009-02-02 17:41 385 --a------ c:\windows\system32\user_gensett.xml
2009-02-01 21:35 . 2009-02-01 21:35 <DIR> d-------- c:\programme\BitDefender
2009-02-01 21:35 . 2009-02-02 17:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2009-02-01 21:34 . 2009-02-03 13:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\BitDefender
2009-02-01 17:32 . 2009-02-01 17:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-01 16:45 . 2009-02-01 16:45 <DIR> d-------- c:\programme\Avira
2009-02-01 16:45 . 2009-02-01 16:45 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-28 18:36 . 2009-01-28 18:36 <DIR> d-------- c:\programme\IrfanView
2009-01-28 18:07 . 2009-01-28 18:34 <DIR> d-------- c:\programme\PhotoFiltre
2009-01-18 00:56 . 2009-01-18 00:56 11 -ra------ c:\windows\amunres.lsl
2009-01-15 22:34 . 2009-01-15 22:34 68,296 --a------ c:\windows\system32\drivers\GRD.sys
2009-01-15 21:43 . 2009-01-15 21:43 50,888 --a------ c:\windows\system32\drivers\MiniIcpt.sys
2009-01-15 21:41 . 2009-02-01 16:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-01-15 21:41 . 2009-01-15 21:41 50,888 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys
2009-01-09 00:16 . 2009-01-09 00:16 <DIR> d-------- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-04 21:32 --------- d-----w c:\dokumente und einstellungen\Nico\Anwendungsdaten\LimeWire
2009-02-04 18:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-04 14:34 --------- d-----w c:\programme\CCleaner
2009-02-03 21:29 --------- d-----w c:\programme\LimeWire
2009-02-03 21:27 --------- d-----w c:\programme\Java
2009-02-02 20:17 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-01 15:20 --------- d-----w c:\programme\EA SPORTS
2009-01-15 20:02 --------- d-----w c:\programme\Trojan Remover
2009-01-08 22:52 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-05 17:47 --------- d-----w c:\programme\Full Tilt Poker
2008-12-29 00:02 --------- d-----w c:\programme\Tennis Elbow Manager
2008-12-28 22:00 --------- d-----w c:\programme\Fighters
2008-12-28 21:56 --------- d-----w c:\programme\Microsoft Games
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-07 13:12 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Simply Super Software
2008-12-06 19:02 255 ----a-w C:\autorun.inf.vir
2008-11-05 13:38 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2008-08-06 19:59 23,536 ----a-w c:\dokumente und einstellungen\Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-31 17:12 22,328 ----a-w c:\dokumente und einstellungen\Nico\Anwendungsdaten\PnkBstrK.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E91869E-EBDC-4658-A6C6-DF266E84FB5A}]
2005-07-26 05:29 94720 --a------ c:\windows\system32\clbcat.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"Autorun Eater"="c:\programme\Autorun Eater\oldmcdonald.exe" [2008-11-27 501768]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2005-05-13 11:01 118784 c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-12 10:05 65536 c:\programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Adobe\\Acrobat 4.0\\Reader\\AcroRd32.exe"=
"c:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\Photoshop Album Starter Edition.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Programme\\CCleaner\\ccleaner.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\unins000.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 ilcffezs;ilcffezs;c:\windows\system32\drivers\ilcffezs.sys [2005-12-05 23424]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\programme\Symantec\LiveUpdate\AluSchedulerSvc.exe [2007-04-11 100032]
R2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2005-12-05 14336]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
S3 Devx;Devx;c:\windows\system32\drivers\Devx.sys [2007-10-09 4448]
S3 kteproc;kteproc;c:\windows\system32\kteproc.sys [2008-11-17 4608]
S3 VtPr;VtPr;c:\windows\system32\drivers\VtPr.sys [2007-10-09 3328]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c26-55a9-11dd-93cf-0011f5fd406a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
\Shell\Open\command - f:\resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c27-55a9-11dd-93cf-0011f5fd406a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com g:
\Shell\Open\command - g:\resycled\boot.com g:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{953c09a0-9dee-11dd-93f3-0011f5fd406a}]
\Shell\AutoRun\command - F:\showpic.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffae8bdc-bf42-11db-92f2-00a0d1348b44}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2006-06-18 c:\windows\Tasks\Registrierungserinnerung 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]

2006-06-18 c:\windows\Tasks\Registrierungserinnerung 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]

2006-06-18 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 03:22]

2009-02-05 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDetect.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-RunOnce-IETI - c:\programme\Skype\Phone\IEPlugin\unins000.exe
HKLM-Explorer_Run-Mpk.exe - c:\programme\KGB\Mpk.exe
MSConfigStartUp-BDAgent - c:\programme\BitDefender\BitDefender 2009\bdagent.exe
MSConfigStartUp-msnmsgr - c:\programme\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-ukasayw - c:\dokumente und einstellungen\nico\lokale einstellungen\anwendungsdaten\ukasayw.exe

.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.ch/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 18:58:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4129979931-2255093898-914873034-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:88,58,78,36,f3,b6,b5,08,9d,fb,9b,49,0e,1f,c8,77,97,fd,00,50,56,31,aa,
ed,74,71,99,e9,12,01,bc,26,5c,64,0e,e5,ce,bd,91,21,4f,dc,88,3c,a8,63,83,15,\
"??"=hex:83,60,5b,24,50,25,c9,e5,2f,65,b2,6b,11,9c,b6,ad

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_NDISPROT.SYS\0000\LogConf]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\acs.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\symwsc.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-05 19:01:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-05 18:01:44

Vor Suchlauf: 6'921'908'224 Bytes frei
Nach Suchlauf: 6,928,281,600 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

256 --- E O F --- 2009-02-04 06:03:20

john.doe · 05.02.2009, 19:33

Seit wann hast du Probleme?

ciao, andreas

p.s.:
1.) Deinstalliere (Start=>Systemsteuerung=>Programme):
LimeWire (die Ursache für deine Probleme)
Autorun Eater
Acrobat Reader (4.0? Damals gab es noch Mammuts auf der Erde.)
Trojan Remover (Rogueverdächtig)
Google Gelumpe (Datenkrake)
SuperAntiSpyware

2.) http://service1.symantec.com/support...50412095959924
http://www.bitdefender.de/KB333-de--...tallieren.html
http://www.avast.com/eng/avast-uninstall-utility.html

3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
NDISPROT.SYS
ilcffezs

File::
c:\windows\system32\drivers\ilcffezs.sys
c:\windows\Tasks\Registrierungserinnerung 1.job
c:\windows\Tasks\Registrierungserinnerung 2.job
c:\windows\Tasks\Registrierungserinnerung 3.job
c:\windows\Tasks\Symantec NetDetect.job
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\dokumente und einstellungen\Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\autorun.inf.vir

Folder::
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Simply Super Software
c:\programme\Trojan Remover
c:\programme\LimeWire
c:\dokumente und einstellungen\Nico\Anwendungsdaten\LimeWire
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c26-55a9-11dd-93cf-0011f5fd406a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c27-55a9-11dd-93cf-0011f5fd406a}]

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

donnico · 05.02.2009, 21:48

ich habe diesen clbcat trojaner vor 3 monaten oder so aufgefangen. das andere weiss ich nicht

ich habe eben leider nie virenschutz oder so was ausgeführt... selber schuld

also ich mache das alles einmal dann liefere ich bericht

danke für die hilfe!!

donnico · 05.02.2009, 22:19

Zitat:

Zitat von john.doe

Seit wann hast du Probleme?

ciao, andreas

p.s.:
1.) Deinstalliere (Start=>Systemsteuerung=>Programme):
LimeWire (die Ursache für deine Probleme)
Autorun Eater
Acrobat Reader (4.0? Damals gab es noch Mammuts auf der Erde.)
Trojan Remover (Rogueverdächtig)
Google Gelumpe (Datenkrake)
SuperAntiSpyware

2.) Download und Ausführung des Norton-Entfernungsprogramms
BitDefender deinstallieren
avast! uninstall utility

3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
NDISPROT.SYS
ilcffezs

File::
c:\windows\system32\drivers\ilcffezs.sys
c:\windows\Tasks\Registrierungserinnerung 1.job
c:\windows\Tasks\Registrierungserinnerung 2.job
c:\windows\Tasks\Registrierungserinnerung 3.job
c:\windows\Tasks\Symantec NetDetect.job
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\dokumente und einstellungen\Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\autorun.inf.vir

Folder::
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Simply Super Software
c:\programme\Trojan Remover
c:\programme\LimeWire
c:\dokumente und einstellungen\Nico\Anwendungsdaten\LimeWire
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c26-55a9-11dd-93cf-0011f5fd406a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b893c27-55a9-11dd-93cf-0011f5fd406a}]

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

wenn ich das symbol au combofix ziehe kommt "öffnen mit" oder abbrechen. muss ich auf "öffnen mit" drücken?

john.doe · 05.02.2009, 22:21

Benutzt du auch die rechte Maustaste?

donnico · 05.02.2009, 22:31

ja! die rechte^^

john.doe · 05.02.2009, 22:47

Versuche es noch einmal. Wenn du die Maustaste loslässt, darfst du die Maus nicht bewegen.

donnico · 05.02.2009, 23:18

jetzt geht es.
nur heisst es immer dass mein avira antivirus persionaledition aktiv ist, dabei ist er es gar nicht! und irgendwie finde ich den antivirus nicht in der software, wie kann ich den noch deinstallieren?

john.doe · 05.02.2009, 23:51

http://dlpro.antivir.com/down/windows/tool_de.exe

ciao, andreas

donnico · 06.02.2009, 00:20

ComboFix 09-02-05.01 - Nico 2009-02-06 0:10:19.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.446.88 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Nico\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Nico\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\autorun.inf.vir
c:\dokumente und einstellungen\Nico\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\drivers\ilcffezs.sys
c:\windows\Tasks\Registrierungserinnerung 1.job
c:\windows\Tasks\Registrierungserinnerung 2.job
c:\windows\Tasks\Registrierungserinnerung 3.job
c:\windows\Tasks\Symantec NetDetect.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ILCFFEZS
-------\Legacy_NDISPROT.SYS

((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.

2009-02-05 21:53 . 2009-02-05 21:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-02-04 15:44 . 2009-02-04 15:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-04 14:57 . 2009-02-05 21:46 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-04 14:57 . 2009-02-04 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-03 22:28 . 2009-02-03 22:27 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-03 22:28 . 2009-02-03 22:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-02 23:35 . 2009-02-02 23:35 250 --a------ c:\windows\gmer.ini
2009-02-02 23:14 . 2009-02-02 23:14 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-02 23:13 . 2009-02-02 23:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 23:13 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-02 23:13 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-02 23:08 . 2009-02-05 21:44 <DIR> d-------- c:\programme\Autorun Eater
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\Nico\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:05 . 2009-02-02 23:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2009-02-02 23:04 . 2009-02-03 13:25 <DIR> d-------- c:\programme\NCH Swift Sound
2009-02-02 23:04 . 2009-02-02 23:04 <DIR> d-------- c:\programme\NCH Software
2009-02-02 18:15 . 2009-02-02 21:04 81,984 --a------ c:\windows\system32\bdod.bin
2009-02-02 17:41 . 2009-02-02 17:41 850 --a------ c:\windows\system32\ProductTweaks.xml
2009-02-02 17:41 . 2009-02-02 17:41 385 --a------ c:\windows\system32\user_gensett.xml
2009-02-01 21:35 . 2009-02-05 21:52 <DIR> d-------- c:\programme\BitDefender
2009-02-01 17:32 . 2009-02-01 17:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-01 16:45 . 2009-02-01 16:45 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-28 18:36 . 2009-01-28 18:36 <DIR> d-------- c:\programme\IrfanView
2009-01-28 18:07 . 2009-01-28 18:34 <DIR> d-------- c:\programme\PhotoFiltre
2009-01-18 00:56 . 2009-01-18 00:56 11 -ra------ c:\windows\amunres.lsl
2009-01-15 22:34 . 2009-01-15 22:34 68,296 --a------ c:\windows\system32\drivers\GRD.sys
2009-01-15 21:43 . 2009-01-15 21:43 50,888 --a------ c:\windows\system32\drivers\MiniIcpt.sys
2009-01-15 21:41 . 2009-02-01 16:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-01-15 21:41 . 2009-01-15 21:41 50,888 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys
2009-01-09 00:16 . 2009-01-09 00:16 <DIR> d-------- c:\programme\Alwil Software

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 20:57 --------- d-----w c:\programme\Google
2009-02-05 20:56 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-02-05 20:45 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-02-04 14:34 --------- d-----w c:\programme\CCleaner
2009-02-03 21:27 --------- d-----w c:\programme\Java
2009-02-02 20:17 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-01 15:20 --------- d-----w c:\programme\EA SPORTS
2009-01-08 22:52 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-05 17:47 --------- d-----w c:\programme\Full Tilt Poker
2008-12-29 00:02 --------- d-----w c:\programme\Tennis Elbow Manager
2008-12-28 22:00 --------- d-----w c:\programme\Fighters
2008-12-28 21:56 --------- d-----w c:\programme\Microsoft Games
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-11-05 13:38 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2008-01-31 17:12 22,328 ----a-w c:\dokumente und einstellungen\Nico\Anwendungsdaten\PnkBstrK.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-02-05_19.00.56.54 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-02-05 23:15:43 16,384 ----atw c:\windows\temp\Perflib_Perfdata_1c8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 488984]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 774168]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-03 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-11-05 67128]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2005-05-13 11:01 118784 c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-12 10:05 65536 c:\programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\Photoshop Album Starter Edition.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Programme\\CCleaner\\ccleaner.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\unins000.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2005-12-05 14336]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 Devx;Devx;c:\windows\system32\drivers\Devx.sys [2007-10-09 4448]
S3 kteproc;kteproc;c:\windows\system32\kteproc.sys [2008-11-17 4608]
S3 VtPr;VtPr;c:\windows\system32\drivers\VtPr.sys [2007-10-09 3328]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{953c09a0-9dee-11dd-93f3-0011f5fd406a}]
\Shell\AutoRun\command - F:\showpic.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffae8bdc-bf42-11db-92f2-00a0d1348b44}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.ch/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 00:15:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4129979931-2255093898-914873034-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:88,58,78,36,f3,b6,b5,08,9d,fb,9b,49,0e,1f,c8,77,97,fd,00,50,56,31,aa,
ed,74,71,99,e9,12,01,bc,26,5c,64,0e,e5,ce,bd,91,21,4f,dc,88,3c,a8,63,83,15,\
"??"=hex:83,60,5b,24,50,25,c9,e5,2f,65,b2,6b,11,9c,b6,ad

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_NDISPROT.SYS\0000\LogConf]
@DACL=(02 0000)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\acs.exe
c:\windows\system32\ati2evxx.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
c:\programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-06 0:19:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-05 23:19:31
ComboFix2.txt 2009-02-05 22:13:40
ComboFix3.txt 2009-02-05 18:01:51

Vor Suchlauf: 8'148'099'072 Bytes frei
Nach Suchlauf: 8,185,430,016 Bytes frei

191 --- E O F --- 2009-02-04 06:03:20

donnico · 06.02.2009, 00:23

clbcat.dll ist endlich draussen!!!!

donnico · 06.02.2009, 00:24

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:23:36, on 06.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

--
End of file - 4654 bytes

john.doe · 06.02.2009, 00:28

Das sieht doch schon deutlich freundlicher aus.

1.) MalwareBytes nach Anleitung ausführen und Log posten.

2.) SuperAntiSpyware nach Anleitung ausführen und Log posten.

3.) GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklick auf gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

4.) Ein neues HJT-Log posten.

ciao, andreas

clbcat.dll und andere Trojaner-System noch zu retten?

Plagegeister aller Art und deren Bekämpfung: clbcat.dll und andere Trojaner-System noch zu retten?