hijack ist an bei... kaspersky erkännt die viren nicht

maese · 22.04.2009, 07:20

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\Explorer.EXE
C:\WINXP\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UYX8MEYN\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A013DC48-D54A-4443-982C-D63B796C6AC5}: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

kaspersky lässt sich eider nicht mehr updaten... das hoch fahren von meinem PC dauert...
zwischen durch kommt trotz popupblocker eine meldung von adserving.
i-net ist leider auch sehr langsam trotz quadcor und 20000 leitung ic verstehe die welt nicht mehr..

Chris4You · 22.04.2009, 12:34

Hi,

das ist ganz einfach....
Deine komplette Internetverbindung wird über die Ukraine geroutet...
Daher absolut nichts mehr mit Passwörtern/eBanking/eBay etc. Von einem sauberen Rechner sofort alle Passwörter ändern bzw. Konten etc. sperren lassen.

Ausserdem wäre es schön, wenn Du:
- ein komplettes HJ-Log postest,
- die Links wie angegebenen behandelts (http://www.trojaner-board.de/22771-a...tml#post171958)
- und Du alles für einen Erstbeitrag lieferst (http://www.trojaner-board.de/69886-a...-beachten.html)..

Also arbeite alles für den Erstbeitrag ab, plus:

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{A013DC48-D54A-4443-982C-D63B796C6AC5}: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.216,85.255.112.135

DNS-Einträge entfernen:
Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

maese · 22.04.2009, 20:37

Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2976 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokume~1\Daniel\LOKALE~1\Temp\tmp2.tmp
c:\dokume~1\Daniel\LOKALE~1\Temp\tmp3.tmp
c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Temp\tmp3.tmp
c:\recycler\S-6-7-75-100010101-100006175-100032205-1416.com
c:\winxp\system32\404Fix.exe
c:\winxp\system32\Agent.OMZ.Fix.exe
c:\winxp\system32\drivers\gxvxcserv.sys
c:\winxp\system32\dumphive.exe
c:\winxp\system32\IEDFix.C.exe
c:\winxp\system32\IEDFix.exe
c:\winxp\system32\o4Patch.exe
c:\winxp\system32\Process.exe
c:\winxp\system32\SrchSTS.exe
c:\winxp\system32\tmp.reg
c:\winxp\system32\VACFix.exe
c:\winxp\system32\VCCLSID.exe
c:\winxp\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-22 bis 2009-04-22 ))))))))))))))))))))))))))))))
.

2009-04-19 22:35 . 2009-04-19 22:35 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-19 22:35 . 2009-04-19 22:35 24576 ----a-w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\cp_setup_assist.exe
2009-04-19 04:14 . 2008-10-16 12:06 268648 ----a-w c:\winxp\system32\mucltui.dll
2009-04-19 04:14 . 2008-10-16 12:06 208744 ----a-w c:\winxp\system32\muweb.dll
2009-04-19 04:14 . 2008-10-16 12:06 27496 ----a-w c:\winxp\system32\mucltui.dll.mui
2009-04-18 07:28 . 2009-04-18 07:28 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Template
2009-04-18 07:28 . 2009-04-18 09:13 284 ----a-w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\wklnhst.dat
2009-04-17 21:11 . 2009-04-17 21:16 -------- d-----w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Rockstar Games
2009-04-17 21:07 . 2009-04-17 21:07 107888 ----a-w c:\winxp\system32\CmdLineExt.dll
2009-04-17 21:06 . 2009-04-17 21:06 -------- d-----w c:\winxp\system32\xlive
2009-04-17 20:50 . 2009-04-17 22:20 466848 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-04-17 20:48 . 2009-04-17 20:51 -------- d-----w c:\winxp\system32\XPSViewer
2009-04-17 20:47 . 2006-06-29 11:07 14048 ------w c:\winxp\system32\spmsg2.dll
2009-04-16 07:30 . 2009-02-09 11:14 2026496 -c----w c:\winxp\system32\dllcache\ntkrpamp.exe
2009-04-16 07:30 . 2009-02-09 11:14 2068480 -c----w c:\winxp\system32\dllcache\ntkrnlpa.exe
2009-04-16 07:30 . 2009-02-09 11:14 2147840 -c----w c:\winxp\system32\dllcache\ntkrnlmp.exe
2009-04-14 20:07 . 2009-04-14 20:07 -------- d--h--w c:\winxp\system32\GroupPolicy
2009-04-14 14:56 . 2009-04-14 14:56 -------- d-----w c:\winxp\system32\NtmsData
2009-04-14 14:24 . 2009-04-14 14:24 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ashampoo
2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\ashampoo
2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo
2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\vlc
2009-04-14 12:54 . 2009-04-14 18:54 44786 ----a-w c:\winxp\Logic 5.prf
2009-04-14 12:45 . 2009-04-14 12:46 471 ----a-w c:\winxp\system32\Datei4
2009-04-14 12:45 . 2009-04-14 12:46 471 ----a-w c:\winxp\system32\Datei2
2009-04-14 12:45 . 2009-04-14 12:46 470 ----a-w c:\winxp\system32\Datei3
2009-04-14 12:45 . 2009-04-14 12:46 470 ----a-w c:\winxp\system32\Datei1
2009-04-14 12:45 . 2009-04-14 12:46 469 ----a-w c:\winxp\system32\Datei7
2009-04-14 12:45 . 2009-04-14 12:46 469 ----a-w c:\winxp\system32\Datei5
2009-04-14 12:45 . 2009-04-14 12:46 468 ----a-w c:\winxp\system32\Datei0
2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei9
2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei8
2009-04-14 12:45 . 2009-04-14 12:46 467 ----a-w c:\winxp\system32\Datei10
2009-04-14 12:45 . 2009-04-14 12:46 465 ----a-w c:\winxp\system32\Datei6
2009-04-14 12:45 . 2009-04-19 22:37 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Steinberg
2009-04-14 12:42 . 2005-05-09 15:38 33792 ----a-w c:\winxp\system32\drivers\cledx.sys
2009-04-14 12:40 . 1997-08-26 07:36 315904 ----a-w c:\winxp\IsUninst.exe
2009-04-14 12:40 . 2009-04-14 12:40 -------- d-----w c:\dokumente und einstellungen\Daniel\WINDOWS
2009-04-14 12:33 . 2005-11-03 07:47 16896 ----a-w c:\winxp\system32\drivers\synasUSB.sys
2009-04-14 10:02 . 2002-09-19 13:03 114688 ----a-w c:\winxp\system32\EASIMME.dll
2009-04-14 10:02 . 2002-08-13 07:04 53248 ----a-w c:\winxp\system32\VSM Manager.dll
2009-04-14 10:02 . 2002-08-13 07:04 36864 ----a-w c:\winxp\system32\Log_ds2.ax
2009-04-14 10:02 . 2002-08-13 07:04 258048 ----a-w c:\winxp\system32\REX Shared Library.dll
2009-04-14 10:02 . 2002-08-13 07:04 126976 ----a-w c:\winxp\system32\EASIDS.dll
2009-04-14 09:06 . 2009-04-20 06:31 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\uTorrent

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 19:33 . 2009-04-14 08:37 5528352 --sha-w c:\winxp\system32\drivers\fidbox.dat
2009-04-22 19:33 . 2009-04-14 08:37 297760 --sha-w c:\winxp\system32\drivers\fidbox2.dat
2009-04-22 19:31 . 2009-04-14 08:37 77108 --sha-w c:\winxp\system32\drivers\fidbox.idx
2009-04-22 19:31 . 2009-04-14 08:37 31004 --sha-w c:\winxp\system32\drivers\fidbox2.idx
2009-04-22 19:17 . 2009-04-14 08:37 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-04-22 04:30 . 2009-04-17 08:29 -------- d-----w c:\programme\Steam
2009-04-21 05:46 . 2009-04-21 05:44 3070 ----a-w C:\rapport.txt
2009-04-19 22:35 . 2009-04-19 22:35 -------- d-----w c:\programme\UNICCodec
2009-04-18 07:27 . 2009-04-18 07:26 -------- d-----w c:\programme\Microsoft Works
2009-04-17 21:14 . 2009-04-17 21:06 -------- d-----w c:\programme\Microsoft Games for Windows - LIVE
2009-04-17 20:52 . 2009-04-17 20:45 -------- d-----w c:\programme\Rockstar Games
2009-04-17 20:52 . 2009-04-14 08:30 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-17 20:50 . 2008-04-14 10:00 78558 ----a-w c:\winxp\system32\perfc007.dat
2009-04-17 20:50 . 2008-04-14 10:00 443100 ----a-w c:\winxp\system32\perfh007.dat
2009-04-17 20:50 . 2009-04-17 20:50 -------- d-----w c:\programme\MSBuild
2009-04-17 20:47 . 2009-04-17 20:47 -------- d-----w c:\programme\Reference Assemblies
2009-04-17 12:45 . 2009-04-17 12:45 -------- d-----w c:\programme\Elaborate Bytes
2009-04-14 18:48 . 2009-04-14 08:28 12112 ----a-w c:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-14 15:02 . 2009-04-14 15:02 -------- d-----w c:\programme\PowerQuest
2009-04-14 15:01 . 2009-04-14 08:32 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-04-14 14:16 . 2009-04-14 14:16 -------- d-----w c:\programme\Ashampoo
2009-04-14 14:05 . 2009-04-14 14:05 -------- d-----w c:\programme\VideoLAN
2009-04-14 10:03 . 2009-04-14 08:23 86315 ----a-w c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2009-04-14 09:45 . 2009-04-14 09:06 -------- d-----w c:\programme\uTorrent
2009-04-14 09:26 . 2009-04-14 09:25 -------- d-----w c:\programme\eMule
2009-04-14 08:49 . 2009-04-14 08:49 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-04-14 08:42 . 2009-04-14 08:37 89601 ----a-w c:\winxp\system32\drivers\klick.dat
2009-04-14 08:42 . 2009-04-14 08:37 101287 ----a-w c:\winxp\system32\drivers\klin.dat
2009-04-14 08:37 . 2009-04-14 08:37 -------- d-----w c:\programme\Kaspersky Lab
2009-04-14 08:32 . 2009-04-14 08:30 -------- d-----w c:\programme\Realtek
2009-04-14 08:32 . 2009-04-14 08:32 315392 ----a-w c:\winxp\HideWin.exe
2009-04-14 08:30 . 2009-04-14 08:30 -------- d-----w c:\dokumente und einstellungen\Daniel\Anwendungsdaten\InstallShield
2009-04-14 08:30 . 2009-04-14 08:30 16608 ----a-w c:\winxp\gdrv.sys
2009-04-14 08:29 . 2009-04-14 08:20 -------- d-----w c:\programme\Windows Media Connect 2
2009-04-14 08:24 . 2009-04-14 08:24 -------- d-----w c:\programme\microsoft frontpage
2009-04-14 08:22 . 2009-04-14 08:22 -------- d-----w c:\programme\Online-Dienste
2009-04-14 08:22 . 2009-04-14 08:22 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-04-14 08:20 . 2009-04-14 08:20 21740 ----a-w c:\winxp\system32\emptyregdb.dat
2009-03-12 15:30 . 2009-03-12 15:30 142504 ----a-w c:\winxp\system32\ElbyVCD.dll
2009-03-06 13:50 . 2008-04-14 10:00 286720 ----a-w c:\winxp\system32\pdh.dll
2009-03-03 00:03 . 2008-10-16 19:04 826368 ----a-w c:\winxp\system32\wininet.dll
2009-03-02 11:41 . 2009-03-02 11:41 29184 ----a-w c:\winxp\system32\drivers\VClone.sys
2009-02-20 16:49 . 2008-12-10 14:31 78336 ----a-w c:\winxp\system32\ieencode.dll
2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\winxp\system32\ElbyCDIO.dll
2009-02-10 17:24 . 2008-04-14 10:00 678400 ----a-w c:\winxp\system32\advapi32.dll
2009-02-09 13:57 . 2008-12-10 15:30 1847680 ----a-w c:\winxp\system32\win32k.sys
2009-02-09 11:14 . 2008-08-14 13:52 2026496 ----a-w c:\winxp\system32\ntkrnlpa.exe
2009-02-09 11:14 . 2008-12-10 15:31 2147840 ----a-w c:\winxp\system32\ntoskrnl.exe
2009-02-09 11:14 . 2008-04-14 10:00 111104 ----a-w c:\winxp\system32\services.exe
2009-02-09 10:54 . 2008-04-14 10:00 736768 ----a-w c:\winxp\system32\lsasrv.dll
2009-02-09 10:54 . 2008-04-14 10:00 401408 ----a-w c:\winxp\system32\rpcss.dll
2009-02-09 10:54 . 2008-04-14 10:00 740864 ----a-w c:\winxp\system32\ntdll.dll
2009-02-06 10:36 . 2008-04-14 10:00 35328 ----a-w c:\winxp\system32\sc.exe
2009-02-03 19:57 . 2008-04-14 10:00 56832 ----a-w c:\winxp\system32\secur32.dll
.

------- Sigcheck -------

[-] 2008-12-10 14:31 1571840 451D0981F4CCA5697307AF90D799BDC3 c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dll" [2008-05-16 86016]
"SoundMan"="SOUNDMAN.EXE" - c:\winxp\SoundMan.exe [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\winxp\alcwzrd.exe [2008-06-19 2808832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Steam\\steamapps\\ellypirelly1986\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-22 21:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\dokume~1\Daniel\LOKALE~1\Temp\RGI1.tmp 7114 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(948)
c:\winxp\system32\klogon.dll

- - - - - - - > 'explorer.exe'(2624)
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll
c:\winxp\system32\WPDShServiceObj.dll
c:\winxp\system32\PortableDeviceTypes.dll
c:\winxp\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
c:\winxp\system32\nvsvc32.exe
c:\winxp\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-22 21:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-22 19:35

Vor Suchlauf: 8 Verzeichnis(se), 215.984.922.624 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 215.997.538.304 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

212 --- E O F --- 2009-04-19 10:24

Chris4You · 22.04.2009, 21:22

Äh,

ja es stellt sich mir die Frage, hast Du alle Aktionen die bei dem Link für den ersten Beitrag durchgeführt? (CCleaner, MAM etc.)...

Ich denke nicht, es sind noch temporäre Daten da, daher unbedingt nachholen wenn doch dann Log posten...

Du hattest/hast einen Rootkit auf dem System:
c:\winxp\system32\drivers\gxvxcserv.sys

Normalweise zieht der eine Menge an Trojanern etc. nach sich, daher dürfte es das Beste sein, dass System Neuaufzusetzen...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

Hohle unbedingt die Scann mit MAM nach, vorher die Bereinigung mit CCleaner... ev. brauchen wir zum kompletten entfernen noch ein paar andere Tools, wobei der Rechner eigentlich nicht mehr sicher ist...

chris

hijack ist an bei... kaspersky erkännt die viren nicht

Plagegeister aller Art und deren Bekämpfung: hijack ist an bei... kaspersky erkännt die viren nicht