Gefunden: Backdoor.Win32.Shark.dxa

B4CKD00R · 08.03.2009, 14:55

Hallo,

mein Kaspersky hat vor einiger Zeit einen Virus gefunden: C:\WINDOWS\system32\zlib.dll

Kaspersky öffnet nachdem ich meinen Rechner hochgefahren habe immer die Meldung das Malware gefunden wurde. Ich klicke dann immer auf Alle neuralisieren. Dann öffnet sich das Fenster mit der Datei. Ich kann nur auf Löschen und Überspringen klicken. Ich lösche also die Datei und danach öffnet sich das selbe Fenster noch einmal mit dem gleichen Dateinamen. Diesmal kann ich allerdings nur Überspringen auswählen.

Ich habe einen HijackThis gemacht und kopiere ihn hier mal rein. Ich hoffe ihr könnt mir helfen mein System wieder zu säubern.

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:47, on 08.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\dokumente und einstellungen\tobias\lokale einstellungen\anwendungsdaten\wkaik.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Oe6jbO0jZ] "C:\Dokumente und Einstellungen\****\Anwendungsdaten\m3gkEE.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [wkaik] "c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\wkaik.exe" wkaik
O4 - HKCU\..\Run: [3BAZo] "C:\Dokumente und Einstellungen\***\Anwendungsdaten\m3gkEE.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139824417250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139824399140
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 12167 bytes

Mit freundlichen Grüßen b4ckd00r (welch Ironie das ich einen auf dem Rechner habe

)

**Sunny** · 08.03.2009, 18:39

Hallo B4CKD00R und

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Dokumente und Einstellungen\****\Anwendungsdaten\m3gkEE.exe
c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\wkaik.exe
C:\WINDOWS\system32\zlib.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

B4CKD00R · 08.03.2009, 21:26

Datei: m3gkEE.exe

Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.08 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.105 2009.03.07 TR/Dropper.Gen
Authentium 5.1.0.4 2009.03.08 -
Avast 4.8.1335.0 2009.03.08 -
AVG 8.0.0.237 2009.03.07 -
BitDefender 7.2 2009.03.08 -
CAT-QuickHeal 10.00 2009.03.07 -
ClamAV 0.94.1 2009.03.06 -
Comodo 1037 2009.03.08 -
DrWeb 4.44.0.09170 2009.03.08 -
eSafe 7.0.17.0 2009.03.08 -
eTrust-Vet 31.6.6386 2009.03.06 -
F-Prot 4.4.4.56 2009.03.08 -
F-Secure 8.0.14470.0 2009.03.08 -
Fortinet 3.117.0.0 2009.03.08 -
GData 19 2009.03.08 -
Ikarus T3.1.1.45.0 2009.03.08 -
K7AntiVirus 7.10.663 2009.03.07 -
Kaspersky 7.0.0.125 2009.03.08 -
McAfee 5547 2009.03.08 -
McAfee+Artemis 5547 2009.03.08 -
Microsoft 1.4405 2009.03.08 -
NOD32 3917 2009.03.07 a variant of Win32/Injector.KL
Norman 6.00.06 2009.03.06 -
nProtect 2009.1.8.0 2009.03.08 -
Panda 10.0.0.10 2009.03.08 -
PCTools 4.4.2.0 2009.03.08 -
Prevx1 V2 2009.03.08 -
Rising 21.19.42.00 2009.03.06 -
SecureWeb-Gateway 6.7.6 2009.03.07 Trojan.Dropper.Gen
Sophos 4.39.0 2009.03.08 -
Sunbelt 3.2.1858.2 2009.03.08 -
Symantec 1.4.4.12 2009.03.08 -
TheHacker 6.3.2.7.275 2009.03.07 -
TrendMicro 8.700.0.1004 2009.03.06 -
VBA32 3.12.10.1 2009.03.08 -
ViRobot 2009.3.7.1639 2009.03.07 -
VirusBuster 4.5.11.0 2009.03.08 -

File size: 302971 bytes
MD5...: 13a1fc94a456c6ae44896890a37aa92b
SHA1..: 5f6c64367dc819b8ad64d6881169416b8ad78b1b
SHA256: 8a904fac4929bb0b653dfa4601b0a3d2a468410f6cdccf95341e9dbcfc923a40
SHA512: 15ed02a9be0bfdd92b4209881cec573a669a7ab2c615ea10a71e3a053d1af0f7
e1fd50ba078998858dc1670254c26ab5d64d835f6af178dd559f991ad75011f4
ssdeep: 6144:mKJhy5G3MGOVzXx/DJoH5QQl1ZNc6zxJdYQDFBnSzfRRAa/UARcwqOSeNK3
:mw0G8GezlNoH5lZ39PYQ7SzvAYcwqxf
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
-----------------------------------

Datei: wkaik.exe

Ergebnis.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.08 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.105 2009.03.07 -
Authentium 5.1.0.4 2009.03.08 -
Avast 4.8.1335.0 2009.03.08 -
AVG 8.0.0.237 2009.03.07 -
CAT-QuickHeal 10.00 2009.03.07 -
ClamAV 0.94.1 2009.03.06 -
Comodo 1037 2009.03.08 -
DrWeb 4.44.0.09170 2009.03.08 -
eSafe 7.0.17.0 2009.03.08 -
eTrust-Vet 31.6.6386 2009.03.06 -
F-Prot 4.4.4.56 2009.03.08 -
F-Secure 8.0.14470.0 2009.03.08 -
Fortinet 3.117.0.0 2009.03.08 -
GData 19 2009.03.08 -
Ikarus T3.1.1.45.0 2009.03.08 -
K7AntiVirus 7.10.663 2009.03.07 -
Kaspersky 7.0.0.125 2009.03.08 -
McAfee 5547 2009.03.08 -
McAfee+Artemis 5547 2009.03.08 -
Microsoft 1.4405 2009.03.08 -
NOD32 3917 2009.03.07 -
Norman 6.00.06 2009.03.06 -
nProtect 2009.1.8.0 2009.03.08 -
Panda 10.0.0.10 2009.03.08 -
PCTools 4.4.2.0 2009.03.08 -
Rising 21.19.42.00 2009.03.06 -
SecureWeb-Gateway 6.7.6 2009.03.08 Trojan.LooksLike.Dropper
Sophos 4.39.0 2009.03.08 -
Sunbelt 3.2.1858.2 2009.03.08 -
Symantec 1.4.4.12 2009.03.08 -
TheHacker 6.3.2.7.275 2009.03.07 -
TrendMicro 8.700.0.1004 2009.03.06 -
VBA32 3.12.10.1 2009.03.08 -
ViRobot 2009.3.7.1639 2009.03.07 -
VirusBuster 4.5.11.0 2009.03.08 -

weitere Informationen

File size: 217088 bytes
MD5...: 1f17a7bf130b46e618a57134b35b598b
SHA1..: 921226f1e4813b196933bd18682803a1ea5649f4
SHA256: 7ca6bf1b28dc3d1231144177cf4dc019d3fa520bf4a8c07116bcb383b908d427
SHA512: 8f9da8e908aaf1f46ecf6fabfb53452892eb31ec7de43e61236acb71332ccc57
8ed3ca4ee557d2cb653a728f53af35e31f3e9e1b9b1f96a02afd72f89f03647c
ssdeep: 3072:zXEjQWOUN7LC7sADo4ACYwBq9gQ3TqJPxdB/h47JiLE/FwZznL5jY:zEbOS
7LC73DgCYwBq9g+TG/hqczlj
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
-----------------------------------

Datei: zlib.dll

Diese Datei ist nicht im Ordner vorhanden.

B4CKD00R · 09.03.2009, 00:10

Logfile von Malwarebyte´s

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1827
Windows 5.1.2600 Service Pack 2

09.03.2009 00:08:49
mbam-log-2009-03-09 (00-08-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 297484
Laufzeit: 2 hour(s), 32 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

**Sunny** · 09.03.2009, 16:20

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

B4CKD00R · 10.03.2009, 16:07

Ich habe das Programm gestartet und das Logfile gespeichert. Allerdings ist der Text ziemlich lang und besteht aus rund 73000 Zeichen. Ich kann nicht den kompletten file hier rein kopieren. Soll ich es dann trennen und mehrere Antworten schreiben?

Das ist schon einmal der erste Teil. CCleaner werde ich dann heute ausführen.

Gmer Log:

---- System - GMER 1.0.15 ----

INT 0x62 ? 8AB50BF8
INT 0x63 ? 8A8EEBF8
INT 0x73 ? 8AB50BF8
INT 0x73 ? 8AB50BF8
INT 0x73 ? 8A8EEBF8
INT 0x83 ? 8A8EEBF8
INT 0xB4 ? 8A8EEBF8

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9E54 5 Bytes JMP B62E51E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE738 5 Bytes JMP B62E55A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
? spoj.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B87A162C 5 Bytes JMP 8A8EE1D8
.text aek33auk.SYS B86DC384 1 Byte [20]
.text aek33auk.SYS B86DC386 35 Bytes [00, 68, 00, 00, 00, 00, 00, ...]
.text aek33auk.SYS B86DC3AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text aek33auk.SYS B86DC3C4 3 Bytes [00, 00, 00]
.text aek33auk.SYS B86DC3C9 1 Byte [00]
.text ...

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[656] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[656] USER32.dll!VRipOutput + FFFA4DE7 7E362A78 4 Bytes [70, 11, 41, 35]
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[3360] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[3360] USER32.dll!VRipOutput + FFFA4DE7 7E362A78 4 Bytes [70, 11, 41, 35]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] spoj.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] spoj.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] spoj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] spoj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] spoj.sys
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\aek33auk.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] 8A139530
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] 8A139530

---- EOF - GMER 1.0.15

Angel21 · 10.03.2009, 16:32

Ja du kannst das Log in abgetrennten Bereichen (aber bitte übersichtlich für Sunny) hier reinkopieren.

Wie gesagt so reinkopieren, dass Sunny das gut lesen und nachvollziehen kann

B4CKD00R · 07.04.2009, 17:32

So entschuldigt erstmal das ich so lange net hier im Forum war.

Bis jetzt hat sich noch nichts gebessert ich werde nun einmal ComboFix installieren und danach das Ergebnis hier posten.

B4CKD00R · 07.04.2009, 18:31

ComboFix 09-04-04.01 - *** 2009-04-07 19:07:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2815.2273 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\m3gkEE.exe
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hprxlqz.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hprxlqz_nav.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hprxlqz_navps.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wkaik.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wkaik_nav.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\wkaik_navps.dat
c:\windows\setup.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.

2009-04-07 18:52 . 2009-04-07 18:52 <DIR> d-------- c:\programme\CCleaner
2009-04-07 13:59 . 2009-04-07 13:59 28,160 --a------ c:\windows\system32\zlib.dll
2009-04-05 14:31 . 2009-04-05 19:34 <DIR> d-------- c:\programme\PokerStars.NET
2009-04-05 11:39 . 2009-04-07 13:59 54,512 --a------ c:\windows\system32\mswinsck.ocx
2009-03-18 19:33 . 2009-03-18 19:33 268 --ah----- C:\sqmdata03.sqm
2009-03-18 19:33 . 2009-03-18 19:33 244 --ah----- C:\sqmnoopt03.sqm
2009-03-11 23:23 . 2009-03-11 23:23 <DIR> d-------- c:\programme\Security Task Manager
2009-03-11 14:28 . 2009-03-11 14:28 268 --ah----- C:\sqmdata02.sqm
2009-03-11 14:28 . 2009-03-11 14:28 244 --ah----- C:\sqmnoopt02.sqm
2009-03-08 22:30 . 2009-03-08 22:30 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-08 22:30 . 2009-03-08 22:30 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-03-08 22:30 . 2009-03-08 22:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-08 22:30 . 2009-02-11 11:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-08 22:30 . 2009-02-11 11:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-07 17:11 . 2009-03-07 17:12 <DIR> d-------- c:\windows\system32\PPLive

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 17:10 7,364 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-04-07 17:10 7,035,424 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-07 17:10 57,092 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-07 17:10 1,531,936 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-04-07 11:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-04-05 23:58 138,384 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-03-26 20:16 --------- d-----w c:\programme\GameSpy Arcade
2009-03-26 15:17 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-03-26 15:14 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-03-25 15:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-19 20:39 --------- d-----w c:\programme\ICQ6
2009-03-02 18:00 --------- d-----w c:\programme\eMule
2009-02-26 17:50 --------- d-----w c:\programme\ASCOMP Software
2009-02-26 17:50 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\ASCOMP Software
2009-02-23 15:44 --------- d-----w c:\programme\TuneUp Utilities 2008
2009-02-21 21:54 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-19 19:20 --------- d-----w c:\programme\Google
2009-02-19 16:48 3,968 -c--a-w c:\windows\system32\drivers\sdtr.sys
2007-06-18 16:38 1 ----a-w c:\dokumente und einstellungen\***\SI.bin
2006-05-28 16:46 397,306 -c--a-w c:\programme\wunauclt.tbe
2006-05-28 16:46 397,306 ----a-w c:\programme\wunauclt.zip
2006-02-13 12:19 8 --sh--r c:\windows\system32\0AE926BB0B.sys
2006-02-13 12:19 4,184 --sha-w c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2008-04-14 04:23 14336 4fbc75b74479c7a6f829e0ca19df3366 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\svchost.exe
2004-08-10 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\system32\svchost.exe
2004-08-10 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\system32\dllcache\svchost.exe

2008-04-14 04:22 82432 6a35e2d6f5f052c84ec2ceb296389439 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ws2_32.dll
2004-08-10 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\system32\ws2_32.dll
2004-08-10 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\system32\dllcache\ws2_32.dll

2008-04-14 04:23 513024 f09a527b422e25c478e38caa0e44417a c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
2004-08-10 14:00 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\system32\winlogon.exe
2004-08-10 14:00 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\system32\dllcache\winlogon.exe

2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ndis.sys
2004-08-10 14:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\dllcache\ndis.sys
2004-08-10 14:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\drivers\ndis.sys

2008-04-13 20:53 36608 3bb22519a194418d5fec05d800a19ad0 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ip6fw.sys
2004-08-10 14:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\dllcache\ip6fw.sys
2004-08-10 14:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\drivers\ip6fw.sys

2008-04-14 04:22 109056 4bb6a83640f1d1792ad21ce767b621c6 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\services.exe
2004-08-10 14:00 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\system32\services.exe
2004-08-10 14:00 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\system32\dllcache\services.exe

2008-04-14 04:22 13312 afb8261b56cba0d86aeb6df682af9785 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\lsass.exe
2004-08-10 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\system32\lsass.exe
2004-08-10 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\system32\dllcache\lsass.exe

2008-04-14 04:22 15360 01b4e6e990b6c5ea8856d96c7fd044b2 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ctfmon.exe
2004-08-10 14:00 15360 7ce20569925df6789c31799f0c538f29 c:\windows\system32\ctfmon.exe
2004-08-10 14:00 15360 7ce20569925df6789c31799f0c538f29 c:\windows\system32\dllcache\ctfmon.exe

2008-04-14 04:23 26624 788f95312e26389d596c0fa55834e106 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\userinit.exe
2004-08-10 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\system32\userinit.exe
2004-08-10 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\system32\dllcache\userinit.exe

2008-04-14 04:22 17408 c8c0bdabc966b6c24d337df0a0a399e1 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\powrprof.dll
2004-08-10 14:00 17408 5604574d490b798bd9a946b021a766ad c:\windows\system32\powrprof.dll
2004-08-10 14:00 17408 5604574d490b798bd9a946b021a766ad c:\windows\system32\dllcache\powrprof.dll

2008-04-14 04:22 110080 f9954695d246b33a5bf105029a4c6ab6 c:\windows\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\imm32.dll
2004-08-10 14:00 110080 94101d13a1818a9d08337eec12ed277a c:\windows\system32\imm32.dll
2004-08-10 14:00 110080 94101d13a1818a9d08337eec12ed277a c:\windows\system32\dllcache\imm32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"Steam"="d:\programme\steam\steam.exe" [2008-10-10 1410296]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-31 68856]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB Storage Toolbox"="c:\programme\USB Disk Win98 Driver\Res.EXE" [2005-09-14 65536]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-01-25 185872]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-05 201992]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"nwiz"="nwiz.exe" [2008-11-12 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2003-04-14 20:05 1498032 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-10-18 12:34 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-03-31 21:50 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-11-03 09:56 204288 c:\programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2008-05-28 09:27 4670704 c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"a2free"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe
"ICQ"="c:\programme\ICQ6\ICQ.exe" silent
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
"AdobeUpdater"="c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe"
"3BAZo"="c:\dokumente und einstellungen\***\Anwendungsdaten\m3gkEE.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"dvd43"=c:\programme\dvd43\dvd43_tray.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"tsnp2std"=c:\windows\tsnp2std.exe
"Easy-PrintToolBox"=c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"snp2std"=c:\windows\vsnp2std.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\counter-strike source\\hl2.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\day of defeat source\\hl2.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\ricochet\\hl.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\counter-strike\\hl.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\day of defeat\\hl.exe"=
"d:\\Programme\\Steam\\SteamApps\\***\\condition zero deleted scenes\\hl.exe"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Programme\\Steam\\SteamApps\\bonnie707\\source sdk base\\hl2.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\kav\\kis7.0\\german\\setup.exe"=
"d:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\German\\setup.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\Programme\\Electronic Arts\\Aufstieg des Hexenkönigs\\game.dat"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\German\\setup.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"d:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"d:\\Programme\\Steam\\SteamApps\\***\\dark messiah might and magic multi-player\\runme.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=
"d:\\Programme\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"=
"d:\\Programme\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [2007-02-22 46080]
R2 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe [2008-06-21 98488]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2006-02-07 1287296]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-03-25 24592]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [2007-02-22 56960]
S3 adxapie;adxapie;\??\c:\dokume~1\Tobias\LOKALE~1\Temp\adxapie.sys --> c:\dokume~1\Tobias\LOKALE~1\Temp\adxapie.sys [?]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [2008-02-13 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [2008-02-13 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [2008-02-13 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [2008-02-13 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [2008-02-13 98568]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a4bf9ec-ac23-11dd-a896-001cdf585cdf}]
\Shell\AutoRun\command - H:\Menu.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-07 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]

2009-03-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Db3Lpb9C - c:\dokumente und einstellungen\***\Anwendungsdaten\m3gkEE.exe
HKLM-Run-W28KPI24 - c:\dokumente und einstellungen\***\Anwendungsdaten\m3gkEE.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
HKU-Default-Run-msnmsgr - c:\programme\MSN Messenger\msnmsgr.exe
HKU-Default-Run-Nokia.PCSync - c:\dokumente und einstellungen\***\Eigene Dateien\Eigene Videos\Nokia PC Suite 6\PcSync2.exe
Notify-NavLogon - (no file)

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.msn.com
mWindow Title = Microsoft Internet Explorer
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\kbchtdvo.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\programme\LOOXISView\NPLOOXISView.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 19:12:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3596527342-2962728287-2517506836-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:5d,2d,84,c9,c8,d5,85,25,5e,fd,67,16,8b,79,8e,c2,4e,d6,fc,d1,ad,27,f0,
af,08,4e,9e,5e,80,91,f9,a1,cd,74,54,fb,10,39,6e,3a,eb,90,0b,e8,5e,b8,1f,7a,\
"??"=hex:ec,7f,62,96,57,2c,d6,08,cc,a5,1f,55,b4,c4,7c,48

[HKEY_USERS\S-1-5-21-3596527342-2962728287-2517506836-1005\Software\SecuROM\License information*]
"datasecu"=hex:bb,6b,3c,fc,7f,f3,46,57,1e,6c,cc,4f,e4,24,f0,f4,c4,bc,e7,d5,ef,
89,9e,e6,1b,6d,a5,aa,f6,07,a5,b4,ea,4b,53,cd,01,ba,16,6f,14,e1,60,41,0d,a4,\
"rkeysecu"=hex:70,4a,4a,12,15,e6,16,0f,3c,5e,2b,9a,7b,3c,fb,2e

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(924)
c:\windows\system32\klogon.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Belkin\Belkin Wireless Network Utility\WLService.exe
c:\programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 19:16:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-07 17:16:49

Vor Suchlauf: 288.559.104 Bytes frei
Nach Suchlauf: 424,288,256 Bytes frei

324 --- E O F --- 2008-08-15 04:18:22

Gefunden: Backdoor.Win32.Shark.dxa

Log-Analyse und Auswertung: Gefunden: Backdoor.Win32.Shark.dxa