RECYCLER\S-7-1-32-100021217-100025782-4999.com

green_w · 19.04.2009, 11:41

Hallo,
es ist zum verrückt werden. Ich hab mein System neu aufgesetzt und ich bekomme schonwieder das Problem, dass ich auf meine Datenträger nicht zugreifen kann. Es ist nur noch per Explorer möglich. Ansonsten erscheint folgende Fehlermeldung:

Zitat:

"RECYCLER\S-7-1-32-100021217-100025782-4999.com" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Wahrscheinlich habe ich mir die Sache wieder durch einen externen Datenträger hinzugezogen, der noch nicht sauber war. Ich weiß auch nicht ob es relevant ist, jedoch werden Suchergebnisse die ich per Google finde, manchmal auf Ebay umgeleitet, warum auch immer - ich konnte dabei jedoch noch keine Regelmäßigkeit entdecken, wann das passiert. Was kann ich tun, damit ich mein System diesmal endgültig sauber bekomme? Vielen Dank schonmal für eure Hilfe, folgend schonmal mein HJT-Log-File:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:35, on 19.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Network Associates\PGPNT\PGPTray.exe
C:\Programme\Psi\psi.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FlashFXP\FlashFXP.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\DriveCrypt Plus Pack\dcpp.exe
C:\WINDOWS\system32\RunDLL32.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Psi.lnk = C:\Programme\Psi\psi.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: PGPtray.lnk = C:\Programme\Network Associates\PGPNT\PGPTray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
O23 - Service: DirMngr - Unknown owner - C:\Programme\GNU\GnuPG\dirmngr.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

--
End of file - 7208 bytes

**Sunny** · 19.04.2009, 11:45

Hallo green_w und

Schließe alle Datenträger (USB-Sticks, externe Festplatten, MP-3Player etc.) an den Rechner an, und führe dann dieses Programm aus:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

green_w · 19.04.2009, 12:12

Hallo,
danke erstmal für deine Antwort. Ist es außredem auch sinnvoll zusätzlich zu allen Datenträgern, alle Truecrypt-Container die ich habe zu mounten, weil die ja auch eine Art Datenträger darstellen?

**Sunny** · 19.04.2009, 12:16

Durch die algoritmische Verschlüsselung (fehlender Headerbereich!) sollten diese "Laufwerke/Wechseldatenträger" nicht betroffen sein.
Brauchst du also auch nicht zu öffnen.

green_w · 19.04.2009, 12:58

Hallo,
ich habe alles ausgeführt wie in den Anleitungen beschrieben.

Es gibt jedoch 2 Sachen, die mich nachdenklich machen:
1. Beim Ausführen des CCleaner konnte ich alles bis auf einen letzten Registry-Eintrag löschen, es kam bei erneuter suche und dem daraufhinfolgenden Beheben des Fehlers immer wieder der selbe Eintrag. Die Beschreibung war wie folgt:

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

2. Ich habe (vergessen zu erwähnen) meine Festplatten verschlüsselt bis auf die Windows-Platte, also C: an alle anderen komme ich erst ran, wenn ich bei DriveCrypt++ meine Passwörter eingebe. Die Platten sind nicht mit Containern verschlüsselt sondern mit 'whole encryption'. Combofix startet während seiner Arbeit ja den Rechner neu und folglich sind dann nur noch die Platte C: und alle externen 'lesbar'. Was ist nun mit den verschlüsselten auf die ich erst nach Passworteingabe zugreifen kann? Muss ich die auch erst entschlüsseln, damit combofix damit arbeiten kann? Oder gibt es einen anderen Weg?

Nun erstmal das Logfile von Combofix:

Zitat:

ComboFix 09-04-19.05 - Administrator 19.04.2009 13:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1648 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
FW: NVIDIA Firewall *disabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\drivers\gxvxccvvmqmtjdcktpayumppvaoyltxiampar.sys
c:\windows\system32\gxvxcaeodvjxtbwkrnhgunxeadvtroulnxddx.dll
c:\windows\system32\gxvxccounter
I:\Autorun.inf
J:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_GXVXCSERV.SYS

((((((((((((((((((((((( Dateien erstellt von 2009-03-19 bis 2009-04-19 ))))))))))))))))))))))))))))))
.

2009-04-03 19:40 . 2009-04-03 19:40 -------- d-----w c:\windows\Sun
2009-04-03 09:57 . 2002-02-02 13:02 770496 ----a-w c:\windows\system32\drivers\dcpp2k.sys
2009-03-31 22:49 . 2009-03-31 22:49 -------- d-----w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2009-03-31 22:34 . 2009-03-31 23:07 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BitTorrent
2009-03-31 22:34 . 2009-03-31 22:34 -------- d-----w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DNA
2009-03-31 22:34 . 2009-04-19 08:25 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DNA
2009-03-31 22:32 . 2009-03-31 22:32 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-03-31 22:32 . 2009-03-31 22:32 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-31 09:57 . 2009-03-31 09:57 186632 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-03-31 09:54 . 2009-03-31 09:54 -------- d-----w c:\windows\system32\XPSViewer
2009-03-31 09:53 . 2006-06-29 11:07 14048 ------w c:\windows\system32\spmsg2.dll
2009-03-29 22:29 . 2009-03-29 22:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-03-29 21:04 . 2009-03-29 21:30 -------- d-----w c:\dokumente und einstellungen\All Users\AdobeTemp
2009-03-29 20:34 . 2009-03-29 20:34 -------- d-----w c:\dokumente und einstellungen\Administrator\Library
2009-03-29 20:34 . 2009-03-29 20:34 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\com.adobe.ExMan
2009-03-29 20:11 . 2009-03-29 20:11 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-29 19:46 . 2009-04-18 18:38 -------- d-----w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-03-29 19:07 . 2009-03-29 19:07 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DAEMON Tools
2009-03-29 19:07 . 2009-03-29 19:07 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-03-29 19:07 . 2009-03-29 19:10 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Lite
2009-03-29 19:03 . 2009-03-29 19:03 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-29 18:59 . 2009-03-29 18:59 717296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-03-29 18:59 . 2009-03-29 19:07 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Pro
2009-03-24 20:47 . 2006-10-26 18:56 32592 ----a-w c:\windows\system32\msonpmon.dll
2009-03-24 20:43 . 2009-03-24 20:47 -------- d-----w c:\windows\SHELLNEW
2009-03-24 20:43 . 2009-03-24 20:43 -------- d-----w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2009-03-24 20:43 . 2009-03-24 20:47 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-03-24 20:43 . 2009-03-24 20:43 -------- d--h--r C:\MSOCache
2009-03-24 11:12 . 2009-03-24 11:14 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2009-03-24 10:47 . 2009-04-10 18:23 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Canon
2009-03-24 10:21 . 2009-04-18 23:35 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mIRC
2009-03-24 10:10 . 2009-03-24 10:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2009-03-24 09:30 . 2009-03-24 09:30 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2009-03-24 09:26 . 2009-03-24 09:26 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\FlashFXP
2009-03-23 18:49 . 2009-03-23 18:49 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\winpt
2009-03-23 18:38 . 2000-08-25 05:58 264441 ----a-w c:\windows\system32\PGP.hlp
2009-03-23 18:37 . 2009-03-23 18:38 512 ----a-w c:\windows\randseed.rnd
2009-03-23 18:37 . 2000-08-25 05:58 815104 ----a-w c:\windows\system32\PGP_SDK.dll
2009-03-23 18:37 . 2000-08-25 05:58 241664 ----a-w c:\windows\system32\PGPsdkNL.dll
2009-03-23 18:37 . 2000-08-25 05:58 188416 ----a-w c:\windows\system32\PGPsdkUI.dll
2009-03-23 18:37 . 2000-08-25 05:58 851968 ----a-w c:\windows\system32\PGPsc.dll
2009-03-23 18:37 . 2000-08-25 05:58 6656 ----a-w c:\windows\system32\drivers\PGPmemlock.sys
2009-03-23 18:37 . 2000-08-25 05:58 53248 ----a-w c:\windows\system32\PGPmn.dll
2009-03-23 18:37 . 2000-08-25 05:58 28672 ----a-w c:\windows\system32\PGPhk.dll
2009-03-23 18:37 . 2000-08-25 05:58 1142784 ----a-w c:\windows\system32\PGPcl.dll
2009-03-23 18:37 . 1998-10-02 18:00 327168 ----a-w c:\windows\IsUninst.exe
2009-03-23 18:31 . 2009-03-23 18:31 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TrueCrypt
2009-03-23 18:27 . 2009-04-19 11:22 -------- d-----w c:\dokumente und einstellungen\Administrator\PsiData
2009-03-23 18:26 . 2009-03-24 20:00 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gnupg
2009-03-23 18:26 . 2009-03-23 18:26 -------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\gnupg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-19 11:23 . 2009-04-19 11:23 -------- d-----w c:\programme\CCleaner
2009-04-19 11:22 . 2009-03-20 00:42 -------- d-----w c:\programme\Trillian
2009-04-19 08:25 . 2009-03-31 22:34 -------- d-----w c:\programme\DNA
2009-04-18 18:28 . 2009-03-19 12:17 74504 ----a-w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-12 13:02 . 2009-04-12 13:02 -------- d-----w c:\programme\Trend Micro
2009-04-10 21:50 . 2001-10-02 13:00 83786 ----a-w c:\windows\system32\perfc007.dat
2009-04-10 21:50 . 2001-10-02 13:00 456632 ----a-w c:\windows\system32\perfh007.dat
2009-04-03 09:57 . 2009-04-03 09:57 -------- d-----w c:\programme\DriveCrypt Plus Pack
2009-04-02 20:22 . 2009-03-31 22:41 -------- d-----w c:\programme\AltBinz
2009-03-31 22:58 . 2009-03-31 22:58 -------- d-----w c:\programme\eMule
2009-03-31 22:34 . 2009-03-31 22:34 -------- d-----w c:\programme\BitTorrent
2009-03-31 22:33 . 2009-03-31 22:33 -------- d-----w c:\programme\AskSearch
2009-03-31 22:33 . 2009-03-31 22:33 -------- d-----w c:\programme\AskBarDis
2009-03-31 22:33 . 2009-03-31 22:31 -------- d-----w c:\programme\Azureus
2009-03-31 22:32 . 2009-03-31 22:32 -------- d-----w c:\programme\Java
2009-03-31 09:57 . 2009-03-24 20:47 -------- d-----w c:\programme\MSBuild
2009-03-31 09:53 . 2009-03-31 09:53 -------- d-----w c:\programme\Reference Assemblies
2009-03-29 22:36 . 2009-03-29 19:36 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-29 22:16 . 2009-03-29 22:16 -------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-29 19:07 . 2009-03-29 19:07 -------- d-----w c:\programme\DAEMON Tools Lite
2009-03-29 19:04 . 2009-03-29 19:03 -------- d-----w c:\programme\DAEMON Tools Pro
2009-03-25 10:44 . 2009-03-25 10:44 -------- d-----w c:\programme\TSL
2009-03-24 20:47 . 2009-03-24 20:47 -------- d-----w c:\programme\Microsoft Works
2009-03-24 20:46 . 2009-03-24 20:46 -------- d-----w c:\programme\Microsoft.NET
2009-03-24 10:19 . 2009-03-24 10:19 -------- d-----w c:\programme\Bitvise Tunnelier
2009-03-24 10:15 . 2009-03-24 10:10 -------- d-----w c:\programme\FlashFXP
2009-03-24 09:27 . 2009-03-24 09:27 -------- d-----w c:\programme\DAMN NFO Viewer
2009-03-23 18:37 . 2009-03-23 18:37 -------- d-----w c:\programme\Network Associates
2009-03-23 18:26 . 2009-03-23 18:26 -------- d-----w c:\programme\Psi
2009-03-23 18:26 . 2009-03-23 18:26 -------- d-----w c:\programme\GNU
2009-03-20 01:12 . 2009-03-20 01:12 -------- d-----w c:\programme\DivX
2009-03-20 01:12 . 2009-03-20 01:12 -------- d-----w c:\programme\Gemeinsame Dateien\DivX Shared
2009-03-20 00:41 . 2009-03-20 00:41 -------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
2009-03-20 00:41 . 2009-03-20 00:41 -------- d-----w c:\programme\Eraser
2009-03-20 00:36 . 2009-03-20 00:36 215872 ----a-w c:\windows\system32\drivers\truecrypt.sys
2009-03-20 00:36 . 2009-03-20 00:36 -------- d-----w c:\programme\TrueCrypt
2009-03-19 13:58 . 2009-03-19 11:48 -------- d-----w c:\programme\Canon
2009-03-19 13:58 . 2009-03-18 18:54 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-19 13:58 . 2009-03-19 13:58 -------- d-----w c:\programme\VideoLAN
2009-03-19 13:57 . 2009-03-19 13:57 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ScanSoft
2009-03-19 13:57 . 2009-03-19 13:57 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-03-19 13:57 . 2009-03-19 13:57 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-03-19 13:57 . 2009-03-19 13:57 -------- d-----w c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-03-19 13:57 . 2009-03-19 13:57 -------- d-----w c:\programme\ScanSoft
2009-03-19 12:20 . 2009-03-19 12:17 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2009-03-19 12:18 . 2009-03-19 12:17 -------- d-----w c:\programme\Winamp
2009-03-19 11:51 . 2009-03-19 11:51 -------- d-----w c:\programme\IrfanView
2009-03-19 11:14 . 2009-03-19 11:14 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Foxit
2009-03-19 11:14 . 2009-03-19 11:14 -------- d-----w c:\programme\Foxit Software
2009-03-18 19:48 . 2009-03-18 19:48 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2009-03-18 19:48 . 2009-03-18 19:48 -------- d-----w c:\programme\iTunes
2009-03-18 19:48 . 2009-03-18 19:48 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-03-18 19:48 . 2009-03-18 19:48 -------- d-----w c:\programme\iPod
2009-03-18 19:48 . 2009-03-18 19:47 -------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-03-18 19:48 . 2009-03-18 19:47 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-03-18 19:48 . 2009-03-18 19:48 -------- d-----w c:\programme\Bonjour
2009-03-18 19:48 . 2009-03-18 19:47 -------- d-----w c:\programme\QuickTime
2009-03-18 19:47 . 2009-03-18 19:47 -------- d-----w c:\programme\Apple Software Update
2009-03-18 19:47 . 2009-03-18 19:47 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-03-18 19:31 . 2009-03-18 19:31 -------- d-----w c:\programme\Avira
2009-03-18 19:31 . 2009-03-18 19:31 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-18 19:00 . 2009-03-18 19:00 -------- d-----w c:\programme\ATI Technologies
2009-03-18 18:56 . 2009-03-18 18:56 1024 ----a-w C:\.rnd
2009-03-18 18:56 . 2009-03-18 18:54 -------- d-----w c:\programme\NVIDIA Corporation
2009-03-18 18:55 . 2009-03-18 18:53 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-18 18:54 . 2009-03-18 18:54 -------- d-----w c:\programme\Gemeinsame Dateien\NVIDIA Shared
2009-03-18 18:52 . 2009-03-18 18:52 8 ----a-w C:\DFIMB.DAT
2009-03-18 18:38 . 2009-03-18 18:17 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-18 18:38 . 2009-03-18 18:38 78180 ----a-w c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2009-03-18 18:25 . 2009-03-18 18:25 -------- d-----w c:\programme\microsoft frontpage
2009-03-18 18:17 . 2009-03-18 18:17 -------- d-----w c:\programme\Online-Dienste
2009-03-18 18:16 . 2009-03-18 18:16 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-03-18 18:15 . 2009-03-18 18:15 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-03-05 22:59 . 2009-03-18 19:47 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys
2009-03-05 22:59 . 2009-03-18 19:47 1900544 ----a-w c:\windows\system32\usbaaplrc.dll
2009-01-27 01:35 . 2009-03-20 01:12 120056 ------w c:\windows\system32\pxcpyi64.exe
2009-01-27 01:35 . 2009-03-20 01:12 118520 ------w c:\windows\system32\pxinsi64.exe
2009-01-27 01:34 . 2009-01-27 01:34 90112 ----a-w c:\windows\system32\dpl100.dll
2009-01-27 01:34 . 2009-01-27 01:34 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-01-27 01:34 . 2009-01-27 01:34 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-01-27 01:34 . 2009-01-27 01:34 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-01-27 01:34 . 2009-01-27 01:34 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-01-27 01:34 . 2009-01-27 01:34 684032 ----a-w c:\windows\system32\DivX.dll
2009-01-27 01:2009-01-27 01:34 34:38 . c:\programme\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:2009-01-27 01:34 34:38 . c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2001-10-02 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-03-31 321344]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2001-10-02 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-10-07 131072]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2004-11-24 266240]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-31 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2001-10-02 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Psi.lnk - c:\programme\Psi\psi.exe [2008-7-26 9128960]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
PGPtray.lnk - c:\programme\Network Associates\PGPNT\PGPTray.exe [2009-3-23 57344]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Psi\\psi.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 DirMngr;DirMngr;c:\programme\GNU\GnuPG\dirmngr.exe [2007-09-17 219136]
S0 dcpp2k;dcpp2k; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 app_filter;app_filter;c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe [2004-11-24 139264]
S2 DCPP2Svc;SecurStar DCPP 3.81+ Service;c:\programme\DriveCrypt Plus Pack\DCPP2Svc.exe [2002-02-02 150976]
S2 PGPmemlock;PGPmemlock;c:\windows\system32\drivers\PGPmemlock.sys [2000-08-25 6656]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Y]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-7-1-32-100021217-100021048-100025782-4999.com y:\
\Shell\Open\command - RECYCLER\S-7-1-32-100021217-100021048-100025782-4999.com y:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c67805a9-13ed-11de-b16d-806d6172696f}]
\Shell\AutoRun\command - D:\SETUP.EXE /UPDATE
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)

.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t9lch54w.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de

fficial
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 13:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\gxvxcserv.sys]
"imagepath"="\systemroot\system32\drivers\gxvxccvvmqmtjdcktpayumppvaoyltxiampar.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(868)
c:\windows\system32\nvappfilter.dll
.
Zeit der Fertigstellung: 2009-04-19 13:48
ComboFix-quarantined-files.txt 2009-04-19 11:47

Vor Suchlauf: 8.327.254.016 Bytes frei
Nach Suchlauf: 8.317.222.912 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

264

Grüße

**Sunny** · 19.04.2009, 13:10

Die verschlüsselten Festplatten sollten nicht betroffen sein, daher mach wie folgt weiter:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

DRIVER::
GXVXCSERV

Registry::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\gxvxcserv.sys]
"imagepath"=-

FILE::
c:\windows\system32\drivers\GXVXCSERV.SYS

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Avira-AntiRootkit Tool

Folgendes Tool auf den Desktop herunterladen -> Avira AntiRootkit Tool

Das Tool entpacken und installieren über die setup.exe

Danach das Programm starten und auf "Start Scan" klicken

Nach dem Scan auf "View Report" klicken, den Text aus dem Editor kopieren (Strg+A -> Strg+C) und im Forum einfügen (Strg+V)

green_w · 19.04.2009, 14:16

Hallo,
nun wirds komisch. Ich habe es so gemacht, wie von dir beschrieben. Nach dem Systemneustart durch Combofix kam allerdings auf einmal die Meldung, dass ich mein Windows aktivieren müsste, sonst kann ich micht nicht anmelden??? what?
Ich habe eine legale Windows-Version XP SP3 - naja habe dann im abgesicherten Modus die Systemwiederherstellung benutzt, nun ging es wieder. Was tun? Kommt dir das Problem bekannt vor?

Soll ich es nochmal probieren?

**Sunny** · 19.04.2009, 14:33

Bist du denn überhaupt auf die Windowsoberfläche gekommen, oder kam das vorher schon mit der Lizenzabfrage?

Hatte Combofix seine "Arbeit" schon begonnen?

Hast du nachdem das System nicht richtig hochgefahren ist, gleich in den agb. Modus gebootet oder erst später?

green_w · 19.04.2009, 14:47

Die Abfrage wegen der Linzenz, kommt nachdem ich meinen Benutzernamen auf der Oberfläche auswähle aber ich komme nicht bis zu meinem Desktop o.ä. - also zwischen auswählen meines Benutzers und Desktop etc.

Combofix hatte noch nicht angefangen Dateien zu löschen usw. der woltle erstmal neustarten, weiß jetzt ehrlich gesagt auch nicht mehr genau was da alles stand.

Nachdem ich gemerkt habe, dass ich um diese Aktivierung nicht herumkomme habe ich direkt im agb-modus neugestartet.

RECYCLER\S-7-1-32-100021217-100025782-4999.com

Plagegeister aller Art und deren Bekämpfung: RECYCLER\S-7-1-32-100021217-100025782-4999.com