virus via usb-stick?

sista · 01.03.2009, 16:05

hallo,

hab mal wieder ein problem mit meinem windows xp-laptop. vor wenigen tagen habe ich via usb-stick daten von einem anderen rechner importieren wollen. es kam von kaspersky security suite cbe, meinem aktuellen virenprogramm, sofort folgende warnung: virus worm.win32.VB.fi auf g:/autorun.inf gefunden. - und automatisch gelöscht. daraufhin hab ich die daten wie geplant auf meinen laptop importiert. den usb-stick ausgeworfen, erneut eingeworfen, es kam keine virus-warnung mehr. die daten habe ich sofort mit kaspersky gescannt, wurde nix auffälliges entdeckt.

allerdings fing etwa 2 tage danach mein system enorm zum spinnen an. die kapazitäten auf dem laufwerk c:/ sind bei mir dank der kleinen festplatte ständig am limit und ich wollte wieder daten auf die externen festplatten rüberkopieren. das dauerte ungewöhnlich viel länger als sonst, mein system hat sich mehrmals aufgehängt und bei einfachen vorgängen etwa 5 x so lang gebraucht wie üblicherweise. dann hatte ich auf c:/ endlch wieder so 8 gb freien speicherplatz. weil mir das ganze merkwürdig vorkam, wollte ich über nacht einen virenscan durchführen .der missglückte aber kräftig: in 9 stunden wurden 20 dateien (!) untersucht, was nicht mal 1 % entsprach. ich brach ab, startete den rechner neu und stellte fest, dass mein freier speicher auf c:/ auf etwa 200 freie MB geschrumpft war. die systemauslastung war fast immer bei 100%, die prozesse svchost.exe und avp.exe blockierten alles, ich konnte nicht mal mehr einfach websites aufrufen, ohne dass es minutenlang gedauert hat und gerucket. und immer wieder hat mich mein system daran erinnert, dass laufwerk c:/ voll sei, ohne dass ich selbst irgendetwas vom netz runtergeladen hätte. ein erneut versuchter virenscan war erfolglos. das hijackthis-logfile was ich auf die schnelle erstellen konnte, ließ mich wissen, dass alles sicher oder neutral sei, es konnte nix ungewöhnliches finden. dann stürzte der rechner ab. jetzt bin ich grad soweit, dass ich im abgesicherten modus einen virenscan durchführe: bisher 30% und bisher nix gefunden. den rechner hab ich voerst vom netz getrennt. ich weiß ehrlich gesagt nicht, ob es mit dem ding möglich ist, noch irgendwelche security-software runterzuladen, ohne dass es stunden dauert. mein usb-stick war ja aber scheinbar infiziert, jetzt möchte ich den nicht noch an meinen kleinen eeepc mit dem ich jetzt grad hier recherchiere, was es denn sein könnte, anstecken, damit der nicht auch infiziert wird.

ps. folgende sachen möchte ich auch nicht unterschlagen, falls sie der ursprung der lösung sein könnten:

ich hab vor wenigen tagen bitorrent installiert, mir 1 file runterladen, es sofort wieder deinstalliert. das 1 file hab ich gestern rüberkopiert, dann hab ich gesehn dass es im c:/recycler/ auch auf einmal vorgekommen ist. ist das normal, oder könnte dies virenbefallen gewesen sein? das würde mein kaspersky jetzt so nicht mehr finden weil ich es gestern auf die externen festplatten gezogen und dann auf c:/ gelöscht habe.

und zweitens: habe einen neuen drucker gekauft und installiert. da kam vom kaspersky die warnung: potentiell gefährliche software hidden date sendin von HPWUCli.exe

und drittens: mein kaspersky schreibt seit gestern abend ständig: der versuch von prozess mit PID 948 auf den prozess kaspersky security suite cbe mit pid 728/1008/728 zu erhalten wurde blockiert.

folgende fragen habe ich daher jetzt abgesehen vom ursprungsproblem, eines möglichen bisher unidfentifizierten virus:

1. ist der usb-stick noch befalllen, obwohl kaspersky geschrieben hat, erfolgreich gelöscht?

2. da ich gestern massenhaft dateien auf meine 2 externen festplatten kopiert/gesichert habe: sind diese externen festplatten jetzt auch befallen? und wenn ja: wie kann ich diese wieder "heilen"? da sind daten von etwa 4-5 jahren drauf, auf die kann ich nicht verzichten. von diplomarbeit über meine musikproduktionen, etc.

3. wie setze ich ein system neu auf, wenn ich keine installations-cd mitbekommen habe vom hersteller, sondern nur auf laufwerk d: so ein paket drauf ist zum neuaufsetzen? ich hab bisher nix gefunden, wie man da ein system komplett neu aufsetzen kann?

4. wie kriege ich etwaigige programme jetzt auf den infizierten rechner? und kann man die auch im abgesicherten modus installieren, bin mir nämlich nicht sicher, ob mein rechner das im normalen modus überhaupt noch zulässt, so langsam wie er ist.

john.doe · 01.03.2009, 16:56

Hallo sista,

Zitat:

1. ist der usb-stick noch befalllen, obwohl kaspersky geschrieben hat, erfolgreich gelöscht?

Ich habe noch nie "Sicherheitsprogrammen" irgendetwas geglaubt und spätestens seit dem hier sind die total den Bach runter.

Zitat:

da ich gestern massenhaft dateien auf meine 2 externen festplatten kopiert/gesichert habe: sind diese externen festplatten jetzt auch befallen? und wenn ja: wie kann ich diese wieder "heilen"?

Möglich. Nimm das, was Kaspersky einsetzen lässt => ComboFix.

Zitat:

wie setze ich ein system neu auf, wenn ich keine installations-cd mitbekommen habe vom hersteller, sondern nur auf laufwerk d: so ein paket drauf ist zum neuaufsetzen?

Das steht im Handbuch.

Zitat:

wie kriege ich etwaigige programme jetzt auf den infizierten rechner?

Bevor du neu aufsetzt, können wir versuchen soweit zu bereinigen, dass du wieder mit dem Rechner arbeiten kannst.

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

sista · 01.03.2009, 19:59

Zitat:

Zitat von john.doe

Hallo sista,

Möglich. Nimm das, was Kaspersky einsetzen lässt => ComboFix.

Das steht im Handbuch.

Hallo Andreas!

Also erstmal Danke für deine Antwort. Ich arbeite daran. Aber ein paar deiner Anweisungen versteh ich nicht: ComboFix für was genau? nur für die externen Festplatten, erst wenn ich das System neu aufgesetzt habe, oder wie? Weil derzeit kann ich ja nix machen am Rechner. Brauche für diese Zeilen grade schon äh... 30 Minuten weil mein System mich immer wieder blockiert. Bei ComboFix hab ich in der Anleitung gelesen, dass man es als Laie auf gar keinen Fall ausführen soll?

Und da komm ich auch schon zu Problem 2: Man braucht scheinbar eine Windows Installations-CD -die ich ja nicht habe. Und ein Handbuch war bei meinem Laptop NIE (!) dabei. Ich hab damals sogar bei Sony angerufen und angemailt, ob das normal sei und ob ich eine Anleitung kriegen kann, wie das gehen soll - und bekam nie eine Antwort. Da es nie akut war, hab ich mich letztendlich leider nicht mehr drum gekümmert. Ich weiß also nur, dass auf D:/ die Dateieln sitzen, aber nicht, wie ich damit mein System neu aufsetzen kann.

Die Kaspersky Viren-Suche im abgesicherten Modus hat übrigens nix ergeben = keine infizierten Dateien gefunden.

Bin grad bei der GMER-Rootkit-Detection. Es läuft seit ... äh 60 min, poste ich daher später.

Konnte jetzt noch schnell ein Hijackthis-File erstellen, das poste ich auch einfach mal hier:

Logfile of HijackThis v1.99.1
Scan saved at 19:39:01, on 01.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\system32\MAFWTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\GetRight\getright.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Sony\VAIO Launcher\Launcher.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
C:\Dokumente und Einstellungen\Babsi\Eigene Dateien\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web

Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web

Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application

Launcher.exe" /startoptions
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - Startup: VAIO Launcher.lnk = C:\Programme\Sony\VAIO Launcher\Launcher.exe
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security

Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Übertragen mit Image Converter 2 - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky

Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital

Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

(file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop

Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security

Suite CBE\avp.exe" -r (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame

Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe"

-service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner -

C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation -

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony

Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony

Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec

Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO

Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation -

C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner -

C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe"

/Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0"

/RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation -

C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO

Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony

Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway

Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated

Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

john.doe · 01.03.2009, 20:19

Zitat:

ComboFix für was genau?

Vergiss das mit ComboFix. Ich gebe dir genaue Anweisungen, was du wie einsetzen sollst.

Zitat:

Ich hab damals sogar bei Sony angerufen und angemailt,

Das spricht nicht gerade für Sony

Gib mir bitte die genaue Typbezeichnung, dann suche ich das Handbuch.

Zitat:

Die Kaspersky Viren-Suche im abgesicherten Modus hat übrigens nix ergeben

Das bedeutet nichts. Falls ich das finde, was ich vermute, setzt das alle Sicherheitsprogramme ausser Kraft. Die funktionieren einfach nicht mehr. Deshalb lässt ja der Kasperverein ComboFix laufen.

Zitat:

Es läuft seit ... äh 60 min,

ciao, andreas

sista · 01.03.2009, 20:32

es läuft noch immer ...

die typenbezeichnung vom notebook ist sony vaio vgn-fs315h

danke auf jeden fall!

john.doe · 01.03.2009, 20:42

Handbuch gibt es hier: ftp://ftp.vaio-link.com/pub/Manuals/...5_FS3_H_DE.pdf

Lädst du aber vll erst runter, wenn es dem Rechner wieder besser geht.

ciao, andreas

p.s.: Anleitung zum Wiederherstellen http://support.vaio.sony.de/tutorial...=VGN-FS&m=2014 Dort steht allerdings etwas von einer CD, die du ja nicht hast.

sista · 01.03.2009, 20:54

so..

tralala datei ist jetzt hier abrufbar:

http://www.materialordner.de/QFJPrgM...54gz1JOCs.html

die ist elendslang

und nein, cd hab ich eben keine dabei gehabt. allerdings hab ich natürlich schon brav wie aufgefordert die "sicherheits dvds" angelegt. die hab ich sicher noch wo herumkugeln.

john.doe · 01.03.2009, 21:02

Nicht das, was ich vermutet habe. Nächster Versuch:

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

sista · 01.03.2009, 21:15

kannman den vorgang wiederholen?

ich hab nur 3 usb-hubs und aber 5 geräte:
2 externe festplatten, 1 usb-stick, 1 ipod und 1 usb-druckeranschluss.
würde jetzt mal die 2 externen festplatten und den usb-stick anschließen.

john.doe · 01.03.2009, 21:19

Zitat:

kannman den vorgang wiederholen?

Ja, ist vll aber gar nicht nötig. Kommt darauf an, was ComboFix findet.

ciao, andreas

sista · 01.03.2009, 21:26

ok , schaun wir mal

derzeit braucht mein CCleaner grad wieder stunden *gähn*

sista · 01.03.2009, 22:11

so, das combofix log file:

ComboFix 09-02-28.01 - Babsi 2009-03-01 21:45:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.574 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Babsi\Desktop\ComboFix.exe
AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated)
FW: Kaspersky Security Suite CBE *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
G:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-01 bis 2009-03-01 ))))))))))))))))))))))))))))))
.

2009-03-01 21:42 . 2009-03-01 21:42 <DIR> d----c--- C:\32788R22FWJFW
2009-03-01 21:13 . 2009-03-01 21:13 <DIR> d-------- C:\Programme\CCleaner
2009-03-01 19:45 . 2009-03-01 19:45 300,544 --a------ C:\Dokumente und Einstellungen\Babsi\Tralala.dll
2009-03-01 14:58 . 2005-07-13 11:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2009-03-01 14:58 . 2005-07-13 14:34 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2009-03-01 14:58 . 2005-07-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2009-03-01 14:58 . 2005-07-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2009-03-01 14:58 . 2005-08-24 20:26 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2009-03-01 14:58 . 2005-08-24 20:31 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2009-03-01 14:58 . 2005-07-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2009-03-01 14:58 . 2005-07-13 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2009-03-01 14:58 . 2005-08-24 20:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Corporation
2009-03-01 14:58 . 2007-11-21 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2009-03-01 14:58 . 2008-01-27 22:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2009-03-01 14:58 . 2009-03-01 14:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2009-03-01 13:38 . 2009-03-01 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-01 13:37 . 2009-03-01 13:37 <DIR> d-------- C:\Programme\Security Task Manager
2009-02-28 19:28 . 2009-02-28 19:29 1,594 --a------ C:\WINDOWS\VPNUnInstall.MIF
2009-02-24 12:08 . 2009-02-24 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\HPAppData
2009-02-24 11:49 . 2009-02-24 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBREG
2009-02-24 11:34 . 2009-02-24 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\HP
2009-02-24 11:32 . 2007-11-01 04:28 49,920 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2009-02-24 11:32 . 2007-11-01 04:28 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2009-02-24 11:31 . 2009-02-24 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-02-24 11:29 . 2007-12-06 16:55 271,704 -ra------ C:\WINDOWS\system32\hpzids01.dll
2009-02-24 11:29 . 2007-03-15 15:32 118,272 --a------ C:\WINDOWS\system32\hpz3l5ha.dll
2009-02-24 11:29 . 2007-11-01 04:28 21,568 -ra------ C:\WINDOWS\system32\drivers\HPZius12.sys
2009-02-24 11:28 . 2007-11-01 04:28 970,752 -ra------ C:\WINDOWS\system32\hpotiop5.dll
2009-02-24 11:28 . 2007-11-01 04:28 729,088 -ra------ C:\WINDOWS\system32\hpowiax5.dll
2009-02-24 11:28 . 2007-11-01 04:28 364,544 -ra------ C:\WINDOWS\system32\hppldcoi.dll
2009-02-24 11:28 . 2007-11-01 04:28 309,760 -ra------ C:\WINDOWS\system32\difxapi.dll
2009-02-24 11:28 . 2007-11-01 04:28 303,104 -ra------ C:\WINDOWS\system32\hpovst12.dll
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- C:\Programme\Hewlett-Packard
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-02-24 11:20 . 2009-02-24 11:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2009-02-24 11:19 . 2009-02-24 11:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2009-02-24 11:17 . 2009-02-24 11:47 <DIR> d-------- C:\Programme\HP
2009-02-24 11:16 . 2008-04-13 20:47 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2009-02-24 11:16 . 2008-04-13 20:47 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2009-02-24 11:14 . 2009-02-24 12:09 188,218 --a------ C:\WINDOWS\hpoins21.dat
2009-02-24 11:14 . 2008-02-13 02:15 7,262 --------- C:\WINDOWS\hpomdl21.dat
2009-02-20 15:56 . 2009-02-20 15:56 <DIR> d-------- C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\AOM62
2009-02-20 15:54 . 2009-02-20 15:54 <DIR> d-------- C:\Programme\AOM
2009-02-20 15:54 . 2009-02-20 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOM
2009-02-13 12:22 . 2009-03-01 21:58 <DIR> d-------- C:\Programme\DNA
2009-02-13 12:22 . 2009-03-01 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\DNA

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 21:01 14,362,912 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2009-03-01 20:55 196,424 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2009-03-01 20:55 108,656 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2009-03-01 20:55 1,123,872 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2009-03-01 20:37 --------- d-----w C:\Programme\GetRight
2009-03-01 18:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-28 18:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2009-02-28 18:33 --------- d-----w C:\Programme\Sony
2009-02-28 16:52 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Sony Corporation
2009-02-27 21:25 --------- d-----w C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\Skype
2009-02-15 10:11 --------- d-----w C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\FileZilla
2009-02-03 17:03 89,601 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2009-02-03 17:03 101,287 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-12-28 18:45 410,984 ----a-w C:\WINDOWS\system32\deploytk.dll
2008-12-20 22:31 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-10-17 07:59 70,352 -c--a-w C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-07-06 15:09 0 -c--a-w C:\Dokumente und Einstellungen\Babsi\Anwendungsdaten\wklnhst.dat

was muss ich als nächstes machen?
und: muss ich meine anderen geräte auch noch dem combofix-check unterziehen? (ipod, usb-drucker und multicard-reader)

john.doe · 01.03.2009, 22:16

Erstmal solltest du den kompletten Bericht von ComboFix posten. Gibt es dich zufällig auch bei Spin?

ciao, andreas

sista · 01.03.2009, 22:23

sorry, war zu schnell

nein, auf "spin" gibts mich nicht!

ComboFix 09-02-28.01 - Babsi 2009-03-01 21:45:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.574 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Babsi\Desktop\ComboFix.exe
AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated)
FW: Kaspersky Security Suite CBE *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\taskmgr.com
G:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-01 bis 2009-03-01 ))))))))))))))))))))))))))))))
.

2009-03-01 21:42 . 2009-03-01 21:42 <DIR> d----c--- C:\32788R22FWJFW
2009-03-01 21:13 . 2009-03-01 21:13 <DIR> d-------- c:\programme\CCleaner
2009-03-01 19:45 . 2009-03-01 19:45 300,544 --a------ c:\dokumente und einstellungen\Babsi\Tralala.dll
2009-03-01 14:58 . 2005-07-13 11:00 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-01 14:58 . 2005-07-13 14:34 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-01 14:58 . 2005-07-13 11:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-01 14:58 . 2005-07-13 11:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-01 14:58 . 2005-08-24 20:26 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-01 14:58 . 2005-08-24 20:31 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-01 14:58 . 2005-07-13 11:56 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-01 14:58 . 2005-07-13 14:39 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Symantec
2009-03-01 14:58 . 2005-08-24 20:30 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sony Corporation
2009-03-01 14:58 . 2007-11-21 10:42 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2009-03-01 14:58 . 2008-01-27 22:04 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-01 14:58 . 2009-03-01 14:58 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-01 13:38 . 2009-03-01 13:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-01 13:37 . 2009-03-01 13:37 <DIR> d-------- c:\programme\Security Task Manager
2009-02-28 19:28 . 2009-02-28 19:29 1,594 --a------ c:\windows\VPNUnInstall.MIF
2009-02-24 12:08 . 2009-02-24 18:06 <DIR> d-------- c:\dokumente und einstellungen\Babsi\Anwendungsdaten\HPAppData
2009-02-24 11:49 . 2009-02-24 11:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2009-02-24 11:34 . 2009-02-24 12:16 <DIR> d-------- c:\dokumente und einstellungen\Babsi\Anwendungsdaten\HP
2009-02-24 11:32 . 2007-11-01 04:28 49,920 -ra------ c:\windows\system32\drivers\HPZid412.sys
2009-02-24 11:32 . 2007-11-01 04:28 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
2009-02-24 11:31 . 2009-02-24 11:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2009-02-24 11:29 . 2007-12-06 16:55 271,704 -ra------ c:\windows\system32\hpzids01.dll
2009-02-24 11:29 . 2007-03-15 15:32 118,272 --a------ c:\windows\system32\hpz3l5ha.dll
2009-02-24 11:29 . 2007-11-01 04:28 21,568 -ra------ c:\windows\system32\drivers\HPZius12.sys
2009-02-24 11:28 . 2007-11-01 04:28 970,752 -ra------ c:\windows\system32\hpotiop5.dll
2009-02-24 11:28 . 2007-11-01 04:28 729,088 -ra------ c:\windows\system32\hpowiax5.dll
2009-02-24 11:28 . 2007-11-01 04:28 364,544 -ra------ c:\windows\system32\hppldcoi.dll
2009-02-24 11:28 . 2007-11-01 04:28 309,760 -ra------ c:\windows\system32\difxapi.dll
2009-02-24 11:28 . 2007-11-01 04:28 303,104 -ra------ c:\windows\system32\hpovst12.dll
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- c:\programme\Hewlett-Packard
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- c:\programme\Gemeinsame Dateien\Hewlett-Packard
2009-02-24 11:20 . 2009-02-24 11:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-02-24 11:20 . 2009-02-24 11:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-02-24 11:19 . 2009-02-24 11:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\HP
2009-02-24 11:17 . 2009-02-24 11:47 <DIR> d-------- c:\programme\HP
2009-02-24 11:16 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-24 11:16 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2009-02-24 11:14 . 2009-02-24 12:09 188,218 --a------ c:\windows\hpoins21.dat
2009-02-24 11:14 . 2008-02-13 02:15 7,262 --------- c:\windows\hpomdl21.dat
2009-02-20 15:56 . 2009-02-20 15:56 <DIR> d-------- c:\dokumente und einstellungen\Babsi\Anwendungsdaten\AOM62
2009-02-20 15:54 . 2009-02-20 15:54 <DIR> d-------- c:\programme\AOM
2009-02-20 15:54 . 2009-02-20 15:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOM
2009-02-13 12:22 . 2009-03-01 21:58 <DIR> d-------- c:\programme\DNA
2009-02-13 12:22 . 2009-03-01 21:58 <DIR> d-------- c:\dokumente und einstellungen\Babsi\Anwendungsdaten\DNA

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 21:01 14,362,912 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-03-01 20:55 196,424 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-01 20:55 108,656 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-03-01 20:55 1,123,872 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-03-01 20:37 --------- d-----w c:\programme\GetRight
2009-03-01 18:38 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-28 18:34 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-28 18:33 --------- d-----w c:\programme\Sony
2009-02-28 16:52 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Sony Corporation
2009-02-27 21:25 --------- d-----w c:\dokumente und einstellungen\Babsi\Anwendungsdaten\Skype
2009-02-15 10:11 --------- d-----w c:\dokumente und einstellungen\Babsi\Anwendungsdaten\FileZilla
2009-02-03 17:03 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-03 17:03 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2008-12-28 18:45 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-17 07:59 70,352 -c--a-w c:\dokumente und einstellungen\Babsi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-07-06 15:09 0 -c--a-w c:\dokumente und einstellungen\Babsi\Anwendungsdaten\wklnhst.dat
2008-08-23 09:13 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082320080824\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-02-13 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-11-07 114688]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-09 6746112]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-29 114688]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-05-15 184320]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 81920]
"MAFWTaskbarApp"="c:\windows\system32\MAFWTray.exe" [2004-06-23 151552]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-28 136600]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"VAIO Update 3"="c:\programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-01-25 546936]
"Sunkist2k"="c:\programme\Multimedia Card Reader\shwicon2k.exe" [2005-10-07 139264]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 c:\windows\RTHDCPL.EXE]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 c:\windows\system32\ico.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
VAIO Launcher.lnk - c:\programme\Sony\VAIO Launcher\Launcher.exe [2005-08-24 778240]

c:\dokumente und einstellungen\Babsi\Startmen\Programme\Autostart\
VAIO Launcher.lnk - c:\programme\Sony\VAIO Launcher\Launcher.exe [2005-08-24 778240]
VirtualExpander.lnk - c:\windows\system32\VirtualExpander\VirtualExpander.exe [2007-03-08 434176]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
GetRight - Tray Icon.lnk - c:\programme\GetRight\getright.exe [2006-07-31 2987336]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= c:\progra~1\GEMEIN~1\SONYSH~1\VideoLib\sonydv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AIM\\aim.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 hotcore2;hotcore2;c:\windows\system32\drivers\hotcore2.sys [2008-02-04 30808]
R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-12 98304]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-12 118784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-12-13 24592]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2006-10-03 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2006-10-03 85696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c96355b2-c507-11dd-acd8-0013ce438c0f}]
\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c96358ce-c507-11dd-acd8-0013ce438c0f}]
\Shell\AutoRun\command - G:\AutoRun.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{E4000AC4-5E5F-4956-807A-C5854405D64F} - %SystemRoot%\system32\VirtualExpander\VEShellExt.dll

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aol.com/?src=aim
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page =
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Alles mit Net Transport herunterladen - c:\programme\Xi\NetTransport 2\NTAddList.html
IE: Download with GetRight - c:\programme\GetRight\GRdownload.htm
IE: Herunterladen mit Net Transport - c:\programme\Xi\NetTransport 2\NTAddLink.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Open with GetRight Browser - c:\programme\GetRight\GRbrowse.htm
IE: Übertragen mit Image Converter 2 - c:\programme\Sony\Image Converter 2\menu.htm
FF - ProfilePath - c:\dokumente und einstellungen\Babsi\Anwendungsdaten\Mozilla\Firefox\Profiles\lnu6686j.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.aol.com/aolcom/search?invocationType=tbff50ie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\npunagi2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 21:58:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1388)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(1444)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\programme\Apoint\ApntEx.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
c:\windows\system32\notepad.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-01 22:21:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-01 21:21:14

Vor Suchlauf: 1.490.251.776 Bytes frei
Nach Suchlauf: 8,346,984,448 Bytes frei

257 --- E O F --- 2009-02-25 17:01:56

sista · 01.03.2009, 22:28

plus :

combofix quarantied files:

2007-04-04 10:53:01 AC------ 140,800 C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
2007-04-04 10:53:01 AC------ 153,600 C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
2009-03-01 21:42:43 AC------ 54 C:\Qoobox\Quarantine\catchme.log
2009-03-01 21:51:06 AC------ 11,691 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2009-03-01 22:15:43 AC------ 1,485 C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{E4000AC4-5E5F-4956-807A-C5854405D64F}.reg.dat

virus via usb-stick?

Plagegeister aller Art und deren Bekämpfung: virus via usb-stick?