Brauche Hilfe, irgendwas stimmt nicht

john.doe · 24.04.2009, 17:52

Da ist etwas schiefgelaufen. Bitte genau an die Anleitung halten und das Script noch einmal ausführen.

ciao, andreas

GerdKueller · 24.04.2009, 18:11

Code:

ATTFilter

ComboFix 09-04-25.01 - Fabian Küller 24.04.2009 19:00.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.645 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
AV: Kaspersky Security Suite CBE *On-access scanning enabled* (Updated)
FW: Kaspersky Security Suite CBE *enabled*
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\aaw7boot.log
C:\backup.reg
c:\dokumente und einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\XXX\KAVremover.exe
c:\dokumente und einstellungen\XXX\kavremover.zip
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\drwtsn32.log
c:\programme\vlc-0.8.6i-win32.exe
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008072920080730\index.dat
c:\windows\System32\perfc007.dat
c:\windows\System32\perfh007.dat
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\aaw7boot.log
C:\backup.reg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\License\adaware.da2
c:\dokumente und einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\XXX\KAVremover.exe
c:\dokumente und einstellungen\XXX\kavremover.zip
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\drwtsn32.log
c:\programme\AVG
c:\programme\AVG\AVG8\avgabout.dll.old
c:\programme\AVG\AVG8\avgclitx.dll.old
c:\programme\AVG\AVG8\avgcorex.dll.old
c:\programme\AVG\AVG8\avgcrlpx.dll.old
c:\programme\AVG\AVG8\avgdiagex.exe.old
c:\programme\AVG\AVG8\avglogx.dll.old
c:\programme\AVG\AVG8\avgnsx.exe.old
c:\programme\AVG\AVG8\avgtray.exe.old
c:\programme\AVG\AVG8\avguires.dll.old
c:\programme\AVG\AVG8\avgupd.dat
c:\programme\AVG\AVG8\avgwd.dll.old
c:\programme\AVG\AVG8\avgwdsvc.exe.old
c:\programme\AVG\AVG8\avgwdwsc.dll.old
c:\programme\HeroCodec
c:\programme\HeroCodec\Uninstall.exe
c:\programme\vlc-0.8.6i-win32.exe
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008072920080730\index.dat
c:\windows\System32\perfc007.dat
c:\windows\System32\perfh007.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Hotkey
-------\Service_Wbutton


(((((((((((((((((((((((   Dateien erstellt von 2009-05-24 bis 2009-4-24  ))))))))))))))))))))))))))))))
.

2009-04-24 16:23 . 2009-04-24 16:23	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-24 15:15 . 2009-04-24 15:15	19286	----a-w	C:\cleanup.exe
2009-04-24 11:12 . 2009-04-24 11:12	--------	d-----w	c:\programme\Foxit Software
2009-04-24 11:12 . 2009-04-24 11:12	--------	d-----w	c:\dokumente und einstellungen\Fabian Küller\Anwendungsdaten\Foxit
2009-04-24 11:11 . 2009-04-24 11:10	73728	----a-w	c:\windows\system32\javacpl.cpl
2009-04-24 08:53 . 2009-04-24 08:53	--------	d-----w	c:\programme\Avira
2009-04-24 08:53 . 2009-04-24 08:53	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-04-24 07:40 . 2006-06-29 11:07	14048	------w	c:\windows\system32\spmsg2.dll
2009-04-24 07:34 . 2009-04-24 07:34	--------	d-----w	c:\windows\system32\XPSViewer
2009-04-24 07:34 . 2009-04-24 07:34	--------	d-----w	c:\programme\MSBuild
2009-04-24 07:34 . 2009-04-24 07:34	--------	d-----w	c:\programme\Reference Assemblies
2009-04-24 07:33 . 2009-04-24 07:33	--------	d-----w	C:\83c45d19af270721f5b488fb
2009-04-24 07:33 . 2008-07-06 12:06	89088	------w	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-24 07:33 . 2008-07-06 12:06	575488	------w	c:\windows\system32\xpsshhdr.dll
2009-04-24 07:33 . 2008-07-06 12:06	575488	------w	c:\windows\system32\dllcache\xpsshhdr.dll
2009-04-24 07:33 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\xpssvcs.dll
2009-04-24 07:33 . 2008-07-06 12:06	1676288	------w	c:\windows\system32\dllcache\xpssvcs.dll
2009-04-24 07:33 . 2008-07-06 12:06	117760	------w	c:\windows\system32\prntvpt.dll
2009-04-24 07:33 . 2008-07-06 10:50	597504	------w	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-22 19:12 . 2009-04-22 19:12	23	--sha-w	c:\windows\system32\edacded0_x.dat
2009-04-22 19:12 . 2009-04-22 19:12	23	----a-w	c:\windows\system32\bcdadac7_x.xml
2009-04-22 15:44 . 2009-04-22 15:44	--------	d-----w	c:\programme\Trend Micro
2009-04-17 15:25 . 2009-02-13 09:31	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-04-17 14:34 . 2009-04-17 14:34	--------	d-----r	c:\dokumente und einstellungen\LocalService\Favoriten
2009-04-16 10:39 . 2009-02-20 16:49	78336	------w	c:\windows\system32\dllcache\ieencode.dll
2009-04-16 05:20 . 2009-02-06 10:10	227840	------w	c:\windows\system32\dllcache\wmiprvse.exe
2009-04-16 05:20 . 2009-03-06 14:19	286720	------w	c:\windows\system32\dllcache\pdh.dll
2009-04-16 05:20 . 2009-02-09 11:21	111104	------w	c:\windows\system32\dllcache\services.exe
2009-04-16 05:20 . 2009-02-09 10:51	401408	------w	c:\windows\system32\dllcache\rpcss.dll
2009-04-16 05:20 . 2009-02-09 10:51	678400	------w	c:\windows\system32\dllcache\advapi32.dll
2009-04-16 05:20 . 2009-02-09 10:51	473600	------w	c:\windows\system32\dllcache\fastprox.dll
2009-04-16 05:20 . 2009-02-09 10:51	736768	------w	c:\windows\system32\dllcache\lsasrv.dll
2009-04-16 05:20 . 2009-02-09 10:51	740352	------w	c:\windows\system32\dllcache\ntdll.dll
2009-04-16 05:20 . 2009-02-09 10:51	453120	------w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 10:34 . 2009-03-27 06:49	1203922	------w	c:\windows\system32\dllcache\sysmain.sdb
2009-04-15 10:34 . 2008-04-21 21:13	217600	------w	c:\windows\system32\dllcache\wordpad.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-24 16:43 . 2009-02-28 12:50	--------	d-----w	c:\programme\Steam
2009-04-24 16:24 . 2007-04-05 12:04	--------	d-----w	c:\programme\Gemeinsame Dateien\Symantec Shared
2009-04-24 15:17 . 2009-04-24 15:17	2606	----a-w	C:\avenger.txt
2009-04-24 12:20 . 2008-07-27 10:59	--------	d-----w	c:\programme\Google
2009-04-24 11:10 . 2008-11-14 16:46	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-24 11:10 . 2007-04-05 10:10	--------	d-----w	c:\programme\Java
2009-04-24 11:08 . 2007-04-06 12:28	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-04-24 11:05 . 2006-10-23 15:42	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-22 18:18 . 2008-07-04 19:15	--------	d-----w	c:\programme\CCleaner
2009-04-19 12:23 . 2008-08-01 12:30	12070	----a-w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\wklnhst.dat
2009-03-21 14:06 . 2009-03-21 14:06	1063424	------w	c:\windows\system32\dllcache\kernel32.dll
2009-03-10 20:18 . 2007-03-15 16:17	970632	------w	c:\windows\system32\dllcache\WgaTray.exe
2009-03-10 20:18 . 2007-03-15 16:16	265096	------w	c:\windows\system32\dllcache\wgaLogon.dll
2009-03-06 14:19 . 2006-01-30 19:41	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-01-30 19:41	826368	----a-w	c:\windows\system32\wininet.dll
2009-03-03 00:03 . 2006-01-30 19:41	826368	----a-w	c:\windows\system32\dllcache\wininet.dll
2009-03-01 19:39 . 2009-02-18 07:11	--------	d-----w	c:\programme\ScreenshotCaptor
2009-02-28 12:48 . 2007-11-19 13:26	--------	d-----w	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sports Interactive
2009-02-28 04:54 . 2006-01-30 19:55	636072	----a-w	c:\windows\system32\dllcache\iexplore.exe
2009-02-20 10:20 . 2007-05-10 05:28	13824	------w	c:\windows\system32\dllcache\ieudinit.exe
2009-02-20 10:20 . 2006-01-30 19:40	70656	----a-w	c:\windows\system32\dllcache\ie4uinit.exe
2009-02-20 05:14 . 2006-01-30 19:40	161792	----a-w	c:\windows\system32\dllcache\ieakui.dll
2009-02-18 07:12 . 2009-02-18 07:12	58	----a-w	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-02-10 17:03 . 2008-10-16 05:55	2068352	------w	c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-09 14:04 . 2008-10-16 05:56	1846912	------w	c:\windows\system32\dllcache\win32k.sys
2009-02-09 14:04 . 2006-01-30 19:41	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2008-10-16 05:55	2191360	------w	c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-09 11:21 . 2008-10-16 05:55	2026496	------w	c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-09 11:21 . 2004-08-04 00:50	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2008-10-16 05:55	2147840	------w	c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-09 11:21 . 2006-01-30 19:40	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2006-01-30 19:41	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2006-01-30 19:41	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2006-01-30 19:40	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2006-01-30 19:40	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2006-01-30 19:40	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2006-01-30 19:41	35328	----a-w	c:\windows\system32\sc.exe
2009-02-06 10:39 . 2006-01-30 19:41	35328	----a-w	c:\windows\system32\dllcache\sc.exe
2009-02-03 19:57 . 2009-02-03 19:57	56832	------w	c:\windows\system32\dllcache\secur32.dll
2009-02-03 19:57 . 2006-01-30 19:41	56832	----a-w	c:\windows\system32\secur32.dll
2008-05-28 20:09 . 2008-05-28 20:09	3278848	----a-w	c:\programme\Duden Korrektor PLUS.msi
2008-02-13 14:21 . 2008-02-13 14:21	32	----a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-01-30 20:06 . 2007-04-05 10:12	146	----a-w	c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2006-01-30 20:06 . 2006-01-30 20:06	146	----a-w	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2004-08-21 10:08 . 2007-06-05 16:10	1648	----a-w	c:\programme\PowerDVD.lnk
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\83c45d19af270721f5b488fb ----

2009-04-24 07:33 . 2008-06-19 05:33	72	------w	c:\83c45d19af270721f5b488fb\amd64\msxpsinc.ppd
2009-04-24 07:33 . 2008-06-19 05:33	2204	------w	c:\83c45d19af270721f5b488fb\i386\msxpsdrv.inf
2009-04-24 07:33 . 2008-06-19 09:03	73	------w	c:\83c45d19af270721f5b488fb\i386\msxpsinc.gpd
2009-04-24 07:33 . 2008-06-19 05:33	72	------w	c:\83c45d19af270721f5b488fb\i386\msxpsinc.ppd
2009-04-24 07:33 . 2008-06-19 05:33	2204	------w	c:\83c45d19af270721f5b488fb\amd64\msxpsdrv.inf
2009-04-24 07:33 . 2008-07-06 12:06	10929	------w	c:\83c45d19af270721f5b488fb\amd64\msxpsdrv.cat
2009-04-24 07:33 . 2008-07-06 12:06	10929	------w	c:\83c45d19af270721f5b488fb\i386\msxpsdrv.cat
2009-04-24 07:33 . 2008-07-06 12:06	147456	------w	c:\83c45d19af270721f5b488fb\amd64\filterpipelineprintproc.dll
2009-04-24 07:33 . 2008-07-06 12:06	89088	------w	c:\83c45d19af270721f5b488fb\i386\filterpipelineprintproc.dll
2009-04-24 07:33 . 2008-07-06 12:06	765440	------w	c:\83c45d19af270721f5b488fb\i386\mxdwdrv.dll
2009-04-24 07:33 . 2008-07-06 12:06	1676288	------w	c:\83c45d19af270721f5b488fb\i386\xpssvcs.dll
2009-04-24 07:33 . 2008-07-06 12:06	748032	------w	c:\83c45d19af270721f5b488fb\amd64\mxdwdrv.dll
2008-07-06 15:36 . 2008-07-06 15:36	2936832	------w	c:\83c45d19af270721f5b488fb\amd64\xpssvcs.dll
2008-06-19 09:03 . 2008-06-19 09:03	73	------w	c:\83c45d19af270721f5b488fb\amd64\msxpsinc.gpd


(((((((((((((((((((((((((((((   SnapShot@2009-04-24_15.41.44   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-24 17:04 . 2009-04-24 17:04	16384              c:\windows\temp\Perflib_Perfdata_8a8.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
2009-04-24 11:10	35840	----a-w	c:\programme\Java\jre6\bin\jp2ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
2009-04-24 11:10	73728	----a-w	c:\programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-04-19 65536]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-05-04 86016]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-02-26 155648]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-21 761946]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2006-01-20 544768]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-07-21 16261632]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"= {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - c:\windows\system32\webcheck.dll [2009-02-20 233472]
"WPDShServiceObj"= {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.exe"=
"c:\\WINDOWS\\system32\\igfxsrvc.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Steam\\SteamApps\\common\\football manager 2009\\fm.exe"=

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{C4069E3A-68F1-403E-B40E-20066696354B} - (no file)
HKLM-Run-CtrlVol - c:\programme\Launch Manager\CtrlVol.exe
ShellExecuteHooks-{AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll
SSODL-CDBurn-{fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {{FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\Messenger\msmsgs.exe
Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - c:\windows\system32\urlmon.dll
Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - c:\windows\system32\urlmon.dll
Filter: lzdhtml - {8f6b0360-b80d-11d0-a9b3-006097942311} - c:\windows\system32\urlmon.dll
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - c:\windows\system32\itss.dll
Handler: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - c:\windows\system32\itss.dll
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - c:\programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL
Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - c:\windows\system32\msvidctl.dll
Name-Space Handler: mk\* - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - c:\windows\system32\itss.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-24 19:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CtrlVol = c:\programme\Launch Manager\CtrlVol.exe?????X7??\??? ??|h??|????a??|Nj?w?j?w????????0??? ???????????????d??????|????????p?????@??,??????h{?w???????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s??????7~??@?N'?stC?? :@??C????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3902489987-3502258820-393941312-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3902489987-3502258820-393941312-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:8c,3e,96,5e,9d,7b,b0,14,98,a3,72,da,9f,4c,81,b8,c9,9b,93,78,71,81,00,
   2c,6d,44,83,67,90,15,6d,c8,da,70,64,da,51,65,b0,36,52,e0,73,07,3b,7f,87,48,\
"??"=hex:70,ef,7c,e9,d1,3d,80,4e,92,70,c8,13,aa,32,a5,58
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2456)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-24 19:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-04-24 17:07
ComboFix2.txt  2009-04-24 16:39
ComboFix3.txt  2009-04-24 15:43

Vor Suchlauf: 20 Verzeichnis(se), 29.076.852.736 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 28.964.507.648 Bytes frei

283	--- E O F ---	2009-04-24 07:48

john.doe · 24.04.2009, 18:13

Bitte nicht mehr in den ComboFix-Logs editieren, sollte da nur dein Vorname drinstehen, dann lasse ihn drin. Nur wenn dein voller Name da steht, dann schicke mir das Log OHNE Änderungen per PN.

ciao, andreas

GerdKueller · 24.04.2009, 18:38

Für die Zukunft oder nochmal?

john.doe · 24.04.2009, 18:39

Für die Zukunft. Benutze die Windowssuche und suche nach Kaspersky. Lösche alle Ordner, die du findest.

ciao, andreas

GerdKueller · 24.04.2009, 18:43

Keine Dateien gefunden. Bei Optionen alles angehackt außer Groß- und Kleinschreibung beachten.

GMER läuft und auch Malwarebytes läuft jetzt

john.doe · 24.04.2009, 18:56

Bitte nacheinander laufen lassen, sonst dauert es länger und die können abstürzen. Und bei Malwarebytes unbedingt vorher auf Suche nach Aktualisierungen klicken.

ciao, andreas

GerdKueller · 24.04.2009, 19:10

Code:

ATTFilter

GMER 1.0.15.14966 - h**p://www.gmer.net
Rootkit scan 2009-04-24 20:09:37
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            F7D8C51E                                                                     ZwCreateKey
SSDT            F7D8C514                                                                     ZwCreateThread
SSDT            F7D8C523                                                                     ZwDeleteKey
SSDT            F7D8C52D                                                                     ZwDeleteValueKey
SSDT            F7D8C532                                                                     ZwLoadKey
SSDT            F7D8C500                                                                     ZwOpenProcess
SSDT            F7D8C505                                                                     ZwOpenThread
SSDT            F7D8C53C                                                                     ZwReplaceKey
SSDT            F7D8C537                                                                     ZwRestoreKey
SSDT            F7D8C528                                                                     ZwSetValueKey
SSDT            F7D8C50F                                                                     ZwTerminateProcess

Code            \??\C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\catchme.sys                           pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?               Combo-Fix.sys                                                                Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\catchme.sys                               Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS\system32\Drivers\PROCEXP90.SYS                                    Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c6f4105a  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c6f4105a      

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\wiadebug.log                                                      159 bytes
File            C:\WINDOWS\wiaservc.log                                                      50 bytes
File            C:\WINDOWS\Sti_Trace.log                                                     0 bytes

---- EOF - GMER 1.0.15 ----

john.doe · 24.04.2009, 19:17

Gmer deinstallieren.

ciao, andreas

GerdKueller · 24.04.2009, 19:23

Wie mach ich das am besten, unter Software ist es nicht drin und auch bei Programme nicht. Einfach löschen?

john.doe · 24.04.2009, 19:38

Ja. Die Reste entfernen wir zum Schluss mit ComboFix.

ciao, andreas

GerdKueller · 24.04.2009, 19:59

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2036
Windows 5.1.2600 Service Pack 3

24.04.2009 20:57:58
mbam-log-2009-04-24 (20-57-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 152301
Laufzeit: 43 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\HeroCodec (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HeroCodecSoft (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HeroCodec (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Programme\HeroCodec\Uninstall.exe.vir (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP365\A0087128.exe (Rogue.Installer) -> No action taken.

GerdKueller · 24.04.2009, 21:20

nichts gefunden, kann ich Malwarebytes schließen oder muss ich mit den gefundenen noch was machen?

http://www.materialordner.de/fl0eRqo...RQ2Xo20E2.html

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
h**p://www.superantispyware.com

Generiert 04/24/2009 bei 10:15 PM

Version der Applikation : 4.26.1000

Version der Kern-Datenbank : 3861
Version der Spur-Datenbank : 1813

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:05:57

Gescannte Speicherelemente  : 492
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5552
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 73754
Erfasste Datei-Elemente   : 0

john.doe · 24.04.2009, 21:30

Zitat:

oder muss ich mit den gefundenen noch was machen?

Klick auf "Ausgewählte entfernen".

ciao, andreas

GerdKueller · 24.04.2009, 21:32

Beim Hochfahren kommt jetzt immer die Meldung "Can not load Hotkey.sys"

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2036
Windows 5.1.2600 Service Pack 3

24.04.2009 22:31:00
mbam-log-2009-04-24 (22-31-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 152301
Laufzeit: 43 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\HeroCodec (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HeroCodecSoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HeroCodec (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Programme\HeroCodec\Uninstall.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP365\A0087128.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Brauche Hilfe, irgendwas stimmt nicht

Log-Analyse und Auswertung: Brauche Hilfe, irgendwas stimmt nicht