Komme nicht mehr auf AntiVirus-Seiten, Rootkit-Dienst auf XP

Ransom · 16.06.2009, 20:30

Hallo zusammen,

auf meinem PC befindet sich offensichtlich ein Virus/Rootkit. Der Dienst "Automatische Updates" springt immer wieder auf "Deaktiviert" zurück. Außerdem befindet sich ein Dienst mit dem Namen "cuxbe" (Anzeigename "Monitor Time") auf dem PC, der die Beschreibung vom IIS Admin kopiert hat und "C:\WINDOWS\system32\svchost.exe -k netsvcs" aufruft. Diesen Dienst kann ich nicht deaktivieren (Fehlermeldung: Zugriff verweigert).
Genau dieses cuxbe taucht auch in Tralala in Verbindung mit der Meldung ***hidden*** auf (s.u.).
Ich komme außerdem nicht mehr auf Internetseiten von AV-Herstellern (Symantec, Avira etc., aber auch Microsoft). Andere Internetseiten gehen problemlos.
Versucht habe ich bereits: Antivirenscan, Avira Removal Tool, Spybot Search & Destroy, Malwarebytes Anti-Malware . Nichts hat das Problem gelöst. Die Hosts-Datei ist auch leer.
Ich bin über Google auf einen Beitrag (http://www.trojaner-board.de/70740-komme-nicht-auf-av-seiten-und-av-kann-auch-nicht-updaten-2.html) gekommen und hoffe, dass sich das Problem hier auch lösen lässt. Mal eben neu installieren wäre mit hohem Aufwand und Kosten verbunden...

Schonmal danke für eure Hilfe,

Ransom

P.S.: Habe auch schon den CCleaner aufräumen lassen.

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 3

16.06.2009 18:54:13
mbam-log-2009-06-16 (18-54-13).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 304420
Laufzeit: 1 hour(s), 9 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:45, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
c:\cachesys\bin\cache.exe
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\cachesys\bin\cache.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
c:\cachesys\bin\cache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\UPSMON\UPSMON_Service.Exe
C:\Programme\UltraVNC\WinVNC.exe
C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
C:\Programme\UPSMON\UPSUSBInt2.exe
c:\cachesys\bin\cache.exe
C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
C:\David\CODE\SL.EXE
C:\David\TLD\CODE\CAPI\TLD.EXE
C:\WINDOWS\system32\cmd.exe
c:\cachesys\bin\cache.exe
c:\cachesys\BIN\ctelnetd.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\CA\eTrustITM\realmon.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
C:\Programme\UPSMON\UPSMON.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\CacheSys\Bin\csystray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\OpenVPN\bin\openvpnserv.exe
C:\Programme\OpenVPN\bin\openvpn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\hjt\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UPSMON] C:\Programme\UPSMON\UPSMON.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: KPSInfo.lnk = C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 192.168.0.11
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152279923000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{747D23BA-F674-4ECB-89A9-F4A39E01FCF4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - C:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - C:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: DvISE Host (DavidHost) - Tobit Software - C:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - C:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - C:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - C:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - C:\David\CODE\SL.EXE
O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - C:\David\apps\showis\showis.exe
O23 - Service: DvISE TLD 001 (DavidTLD001) - Tobit Software - C:\David\TLD\CODE\CAPI\TLD.EXE
O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - C:\David\APPS\TVINDEX\TVINDEX.EXE
O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - C:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE
O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - C:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: HP Web Jetadmin (HPWebJetadmin) - Apache Software Foundation - C:\Programme\HP Web Jetadmin\hpwebjetd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE
O23 - Service: TK-Suite Server (tksock) - AGFEO - C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: UPSMONService - Unknown owner - C:\Programme\UPSMON\UPSMON_Service.Exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

Code:

ATTFilter

32 Bit HP CIO Components Installer
Acronis True Image Home
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.2 - Deutsch
AFPL Ghostscript 8.50
AFPL Ghostscript Fonts
ATI - Software Uninstall Utility
ATI Display Driver
ATI HYDRAVISION
AVM FRITZ!
AVM ISDN CAPI Port
CA eTrustITM Agent
CA iTechnology iGateway
Caché in C:\CacheSys
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP Navigator EX 1.0
Canon MX700 series
CCleaner (remove only)
CDDRV_Installer
Compatibility Pack for the 2007 Office system
cyberJack Base Components
David 
David InfoCenter 
Eraser 5.82
Herma Etiketten Assistent 3.0
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
HP Software Update
HP Web Jetadmin
Intel(R) Management Engine Interface
Intel(R) PRO Network Connections 12.1.12.0
IrfanView (remove only)
Java(TM) 6 Update 13
Java(TM) 6 Update 7
KhalInstallWrapper
KPS DesignStudio
KPS DesignStudio 2009
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Log Monitor 1.4.2
Logitech SetPoint
Malwarebytes' Anti-Malware
Marvell Miniport Driver
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office Basic Edition 2003
Microsoft Visual C++ 2005 Redistributable
MiKTeX
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
Nero Suite
Non Driver CIO Components
NVIDIA Drivers
OpenVPN 2.0.7-gui-1.0.3
Paint Shop Pro 7 Anniversary Edition
phase5
Profi cash
Realtek AC'97 Audio
RedMon - Druckeranschluß-Umleitungsmonitor
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sentinel Protection Installer 7.4.0
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sony TapeTool
SpamPal
Spelling Dictionaries Support For Adobe Reader 9
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4
SUPER © Version 2007.bld.22 (Mar 14, 2007)
Symantec pcAnywhere
TapeWare
Ultr@VNC Release 1.0.0 RC 11b - Win32
UltraVNC v1.0.2
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
UPSMON Plus for Windows
WinAce Archiver
Windows XP Service Pack 3

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-06-16 21:23:11
Windows 5.1.2600 Service Pack 3


---- User code sections - GMER 1.0.14 ----

.text           C:\WINDOWS\System32\svchost.exe[1492] ntdll.dll!NtQueryInformationProcess  7C91D7FE 5 Bytes  JMP 012DADCD 
.text           C:\WINDOWS\System32\svchost.exe[1492] NETAPI32.dll!NetpwPathCanonicalize   597DA3A9 5 Bytes  JMP 012DAD64 
.text           C:\WINDOWS\system32\svchost.exe[1568] ntdll.dll!NtQueryInformationProcess  7C91D7FE 5 Bytes  JMP 009AADCD 

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                     SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                     ino_fltr.sys (CA eTrust Antivirus/InoculateIT File System Filter Driver for Windows 2000/XP/2003/Vista/Computer Associates)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                     tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                     timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                     tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                     timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                          [AUTO] cuxbe                                                                                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@DisplayName                   Monitor Time
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@Type                          32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@Start                         2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@ErrorControl                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@ImagePath                     %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@ObjectName                    LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe@Description                   Erm?glicht die Verwaltung von Webdiensten und FTP-Diensten mithilfe des Snap-Ins Internet-Informationsdienste
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe\Parameters                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\cuxbe\Parameters@ServiceDll         C:\WINDOWS\system32\rqimf.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@DisplayName                       Monitor Time
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@Type                              32
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@Start                             2
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@ErrorControl                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@ImagePath                         %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@ObjectName                        LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe@Description                       Erm?glicht die Verwaltung von Webdiensten und FTP-Diensten mithilfe des Snap-Ins Internet-Informationsdienste
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe\Parameters                        
Reg             HKLM\SYSTEM\ControlSet003\Services\cuxbe\Parameters@ServiceDll             C:\WINDOWS\system32\rqimf.dll

---- Files - GMER 1.0.14 ----

File            C:\David\Archive\SYSTEM\DAVID\Errlog\I023095C.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I01C0547.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I03DE3C0.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I0221E60.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I03783EA.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I01770AB.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I01CEFC6.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I01B4998.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I0394D9D.001                          107 bytes
File            C:\David\Archive\SYSTEM\DAVID\Errlog\I023F3DB.001                          107 bytes

---- EOF - GMER 1.0.14 ----

john.doe · 16.06.2009, 20:47

Hallo und

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
cuxbe

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\cuxbe

Files to delete:
C:\WINDOWS\system32\rqimf.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

john.doe · 16.06.2009, 21:25

Auch wenn du dich für geheilt hältst, würde ich noch gerne das Log von Avenger sehen und ein neues von dem aktuellen Gmer.

Deinstalliere das alte GMER mit Doppelklick auf: C:\WINDOWS\gmer_uninstall.cmd

GMER - Rootkit Detection

Lade Trallala von file-upload.net
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Trallala.exe
Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Ransom · 23.06.2009, 05:35

Zuallererst mal danke für die schnelle Antwort und sorry, dass ich mich jetzt erst wieder melde. Seit einer Woche habe ich versucht, das neue GMER (Trallala) laufen zu lassen, was sich aber immer nach ewiger Laufzeit (über Nacht) aufgehangen hat. Nachdem ich sämtliche Temp-Verzeichnisse sowie das 125.000 Dateien umfassende Tobit-Error-Log gelöscht habe, hat es sich endlich nicht mehr daran aufgehangen. Hier die Ergebnisse:

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "cuxbe" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\cuxbe" deleted successfully.
File "C:\WINDOWS\system32\rqimf.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Code:

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-06-23 06:24:06
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            F7AB233E                                ZwCreateKey
SSDT            F7AB2334                                ZwCreateThread
SSDT            F7AB2343                                ZwDeleteKey
SSDT            F7AB234D                                ZwDeleteValueKey
SSDT            F7AB2352                                ZwLoadKey
SSDT            F7AB2320                                ZwOpenProcess
SSDT            F7AB2325                                ZwOpenThread
SSDT            F7AB235C                                ZwReplaceKey
SSDT            F7AB2357                                ZwRestoreKey
SSDT            F7AB2348                                ZwSetValueKey
SSDT            F7AB232F                                ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                  SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice  \FileSystem\Ntfs \Ntfs                  ino_fltr.sys (CA eTrust Antivirus/InoculateIT File System Filter Driver for Windows 2000/XP/2003/Vista/Computer Associates)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1  tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1  timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2  tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2  timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)

---- EOF - GMER 1.0.15 ----

john.doe · 23.06.2009, 16:01

1.) Deinstalliere:

Java(TM) 6 Update 13
Java(TM) 6 Update 7
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4

2.) Installiere:

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

5.) Poste ein neues HJT-Log.

ciao, andreas

Ransom · 23.06.2009, 21:56

Java hab ich runtergeschmissen und die neueste (14) installiert.
UltraVNC ist auch runter und neueste Version installiert.
Spybot ist runter. Frage dazu: Ist das Programm grundsätzlich schlecht?

Kaspersky ergab das Folgende:

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 23. Juni 2009 22:29:08
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 23/06/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2384400
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	W:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 165169
	Viren gefunden: 6
	Infizierte Objekte gefunden: 19
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 02:19:09

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Avenger\rqimf.dll	Das Objekt ist gesperrt	übersprungen
C:\CacheSys\Mgr\CACHE.DAT	Das Objekt ist gesperrt	übersprungen
C:\CacheSys\Mgr\CACHE.WIJ	Das Objekt ist gesperrt	übersprungen
C:\CacheSys\Mgr\Cachetemp\CACHE.DAT	Das Objekt ist gesperrt	übersprungen
C:\CacheSys\Mgr\Journal\20090623.002	Das Objekt ist gesperrt	übersprungen
C:\Datenbank\CACHE.DAT	Das Objekt ist gesperrt	übersprungen
C:\David\Apps\Dvgrab\Code\tld.chk	Das Objekt ist gesperrt	übersprungen
C:\David\Apps\Postman\Code\tld.chk	Das Objekt ist gesperrt	übersprungen
C:\David\Archive\A\I00C8E2C.$02/thank_you.pif	Infizierte Objekte: Email-Worm.Win32.Sobig.f.dam	übersprungen
C:\David\Archive\A\I00C8E2C.$02	Embedded: infiziert - 1	übersprungen
C:\David\Archive\A\I00C8EC8.$02/movie0045.pif	Infizierte Objekte: Email-Worm.Win32.Sobig.f.dam	übersprungen
C:\David\Archive\A\I00C8EC8.$02	Embedded: infiziert - 1	übersprungen
C:\David\Code\DATABASE\distrib.dat	Das Objekt ist gesperrt	übersprungen
C:\David\Code\DATABASE\distrib.idx	Das Objekt ist gesperrt	übersprungen
C:\David\Code\DATABASE\nameing.dat	Das Objekt ist gesperrt	übersprungen
C:\David\Code\DATABASE\nameing.idx	Das Objekt ist gesperrt	übersprungen
C:\David\Code\david.job	Das Objekt ist gesperrt	übersprungen
C:\David\Code\VSCAN\avfd.dat	Das Objekt ist gesperrt	übersprungen
C:\David\Tld\Port\001\tld.chk	Das Objekt ist gesperrt	übersprungen
C:\David\Tld\Port\Extra\POSTMAN.JOB	Das Objekt ist gesperrt	übersprungen
C:\David\Tld\Port\Extra\POSTMAN.STA	Das Objekt ist gesperrt	übersprungen
C:\David\Tld\Port\Extra\tld.chk	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Desktop\BEWIDATA-Remote-4.exe/vnchooks.dll	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c	übersprungen
C:\Dokumente und Einstellungen\Admin\Desktop\BEWIDATA-Remote-4.exe	7-Zip: infiziert - 1	übersprungen
C:\Dokumente und Einstellungen\Admin\Desktop\BEWIDATA-Remote-4.exe	UPX: infiziert - 1	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\UltraVNC-102-Setup.exe/file04	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.c	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\UltraVNC-102-Setup.exe/file05	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.c	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\UltraVNC-102-Setup.exe/file34	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.1102	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\UltraVNC-102-Setup.exe	Inno: infiziert - 3	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\vnc-4_1_2-x86_win32.exe/file1	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\vnc-4_1_2-x86_win32.exe/file2	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\vnc-4_1_2-x86_win32.exe/file3	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\vnc-4_1_2-x86_win32.exe/file5	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.4	übersprungen
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\vnc-4_1_2-x86_win32.exe	Inno: infiziert - 4	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Adobe\Acrobat\9.0\Updater\updater.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater6\aumLib.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6ldys0b.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\etilqs_g1rq0dGQyxzOgAtiVHkG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\06b3dc68ad2f58256ef8acaac00388b5_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\0b8f8ff48d14d54d6d8620cd796aba49_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\10d43b5325f856d24cc14555ab3eefbb_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\12436b3ffea2961f469de42a589d5cd9_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\1570c6e9979884c4b094111a5034ca76_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\18277469f0f2fb32ed99454039134f98_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\21dcf04ec3f7e9733faffcb3516f74af_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3199a8dd88c35b39baec27a20a7eb158_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3c6f562083b421da1112219bd4a3339f_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\41f3dc7e05b0ae99a960f115b33c4653_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\42a2991ec42ed5b0a8b595c473a3173f_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\494ed1ea3bb09e5189931c3c6546babb_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\4a512f74076a26404b8bc4fe2dbe768f_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\55f83cebf765efaefd9f5a4254e5835c_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\57645ed1af196edd63d166fc453979cf_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\57a151be6df133127403d61f547eb04e_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\5c158c13b2ccbc9d097dbca1a7523414_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\64f071503623afa4c3deea94c1eb1f33_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\6feb0af4a68869a71347ba1bb7a6576a_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\71267e10f5c5ae28a043a928e1ced2ce_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7b82946917e1a99bed47a9d8f067cb82_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\7e98d0b254082baedd6e247e37ff44a8_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\841c0c984f8e298887ba11f1788be4b0_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\8ddcced761cd6c0c1944433b9bfbf0dc_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\92181d47e23c2934f52786dc2a50f05e_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\943c22aa4fd516c70d1ee7992576ae4b_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\9dbb30ad3e5c794747373254e16e3cc6_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a5e164339b9f0583db89a383d879c425_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\aa14e5018105087a26d55c3b35cb95b0_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\abbd4e5308e26bc4270a08f76af5b59d_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\ae67dfe48bd9cfd737698323e1b09a42_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b177e4ce4208c79be84400834f954ea3_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b6fef75b1e5a039c3f0685751e10c37c_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\bb2b46132953fbbf6c8d8d6390bfd7e1_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c457d95490754833d9c01c4fa25d865b_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\c8d6f74735d0daebe9c8a991f36af17c_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\cb2e69b1d1ff281dcd5a08f5546c9bb1_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\cd19f009d0311881ddedbda6f2e3de5d_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d047b3bf6c2bc729157593f1a709cf44_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d0613f9bb42ab971cb98412b36e4e2a8_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d3d27664bd2f65e965f59a378acce25e_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d7fad3af31224afb2f4e7b425262fefb_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\df71dc31925886468bea01a1a836ca58_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\fcf9042aa264b7a49d2a4a74019dbe40_b480abbd-149e-4d0c-8677-76eebedbf080	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\UPSMON\DATABuff.REC	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis\TrueImageHome\Logs\0B94539D-978E-4FDD-9AF0-AC162D3600DF.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\var\dbf\bill.db	Das Objekt ist gesperrt	übersprungen
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\var\dbf\contact.db	Das Objekt ist gesperrt	übersprungen
C:\Programme\HP Web Jetadmin\logs\access_log	Das Objekt ist gesperrt	übersprungen
C:\Programme\HP Web Jetadmin\logs\error_log	Das Objekt ist gesperrt	übersprungen
C:\Programme\HP Web Jetadmin\logs\ssl_request_log	Das Objekt ist gesperrt	übersprungen
C:\Programme\OpenVPN\config\ipp.txt	Das Objekt ist gesperrt	übersprungen
C:\Programme\OpenVPN\config\openvpn-status.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\OpenVPN\log\server.log	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{52811B9D-4E0B-429D-AE93-7EC0D543D558}\RP16\A0011396.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.c	übersprungen
C:\System Volume Information\_restore{52811B9D-4E0B-429D-AE93-7EC0D543D558}\RP16\A0011438.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.WinVNC.1102	übersprungen
C:\System Volume Information\_restore{52811B9D-4E0B-429D-AE93-7EC0D543D558}\RP16\change.log	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{52811B9D-4E0B-429D-AE93-7EC0D543D558}\RP8\A0005166.exe	Infizierte Objekte: Trojan.Win32.Zapchast.uy	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\ModemLog_AVM ISDN RAS (PPP over ISDN).txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\gnserv.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_48c.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\spnserv.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\spserv.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_80bCaJapovHCIy5	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\sqlite_DJKSlKxSnAwNf4I	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Den Wurm im David-Archiv (ganze Datei) sowie den Trojaner im System Volume Information habe ich schonmal manuell gelöscht.

Prevx ergab:

Da hab ich noch nichts unternommen.

Ransom · 23.06.2009, 21:57

Hijack This:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:38, on 23.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\UPSMON\UPSMON_Service.Exe
C:\Programme\UltraVNC\WinVNC.exe
C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
C:\David\CODE\SL.EXE
C:\David\TLD\CODE\CAPI\TLD.EXE
C:\Programme\UPSMON\UPSUSBInt2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\UltraVNC\WinVNC.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\system32\cmd.exe
c:\cachesys\BIN\ctelnetd.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
C:\Programme\UPSMON\UPSMON.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\System32\alg.exe
C:\CacheSys\Bin\csystray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\SpamPal\spampal.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\OpenVPN\bin\openvpnserv.exe
C:\Programme\OpenVPN\bin\openvpn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UPSMON] C:\Programme\UPSMON\UPSMON.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: KPSInfo.lnk = C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 192.168.0.11
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152279923000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{747D23BA-F674-4ECB-89A9-F4A39E01FCF4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - C:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - C:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: DvISE Host (DavidHost) - Tobit Software - C:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - C:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - C:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - C:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - C:\David\CODE\SL.EXE
O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - C:\David\apps\showis\showis.exe
O23 - Service: DvISE TLD 001 (DavidTLD001) - Tobit Software - C:\David\TLD\CODE\CAPI\TLD.EXE
O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - C:\David\APPS\TVINDEX\TVINDEX.EXE
O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - C:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE
O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - C:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: HP Web Jetadmin (HPWebJetadmin) - Apache Software Foundation - C:\Programme\HP Web Jetadmin\hpwebjetd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE
O23 - Service: TK-Suite Server (tksock) - AGFEO - C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: UPSMONService - Unknown owner - C:\Programme\UPSMON\UPSMON_Service.Exe
O23 - Service: uvnc_service - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

Gruß,
Ransom

john.doe · 23.06.2009, 22:08

Zitat:

Ist das Programm grundsätzlich schlecht?

Nein, es hat nur seine beste Zeit hinter sich => http://www.trojaner-board.de/408463-post8.html (1. Absatz)

Ansonsten wurde noch VPN und Teamviewer gefunden, wenn du die bewusst installiert hast, dann sind sie unschädlich.

Zur Sicherheit noch zwei hinterher, dann sollten wir durch sein.

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3)

ciao, andreas

Ransom · 27.06.2009, 15:38

Hallo,

noch kurz eine Rückfrage zum letzten Post: Was ist mit der mota113.exe, die Prevx beanstandet hat?

Panda hat auch was gefunden:

Code:

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-06-27 12:45:17
PROTECTIONS: 2
MALWARE: 4
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.30                      Yes       Yes
eTrust ITM                                   8.0                           No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00055292  W32/Sobig.F.dam                    Virus               No        0         Yes            No           C:\David\Archive\A\I00C8EC8.$02[movie0045.pif]
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
00534496  W32/Conficker.C.worm               Virus/Worm          No        1         Yes            No           C:\Avenger\rqimf.dll
00590315  Rootkit/Agent.LNB                  HackTools           No        0         Yes            No           C:\System Volume Information\_restore{52811B9D-4E0B-429D-AE93-7EC0D543D558}\RP8\A0005155.sys
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              ow
;===================================================================================================================================================================================
No        C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Treiber & Programme\siw17.exe                                                                                                                                                                                                                                                                                                                                                                                                                                     ow
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                ow
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Den Sobig in David/Archive habe ich bereits manuell gelöscht.
Auch das Rootkit in System Volume Information habe ich manuell gelöscht.
Das Cookie ist mir relativ egal, aber was ist mit der Datei im Avenger?

SuperAntiSpyware hat nur Tracking Cookies gefunden.

john.doe · 27.06.2009, 15:56

Zitat:

Was ist mit der mota113.exe, die Prevx beanstandet hat?

Eine von mindestens 1000 Falschmeldungen von Prevx. Die Datei gehört zu Super. Falls du unsicher bist, dann lasse sie bei www.virustotal.com auswerten.

Zitat:

Den Sobig in David/Archive habe ich bereits manuell gelöscht.
Auch das Rootkit in System Volume Information habe ich manuell gelöscht.

Zitat:

Das Cookie ist mir relativ egal, aber was ist mit der Datei im Avenger?

Du hattest Conficker drauf, den haben wir mit Avenger gelöscht, was mich allerdings verblüfft ist, dass die nicht gepackt ist sondern lose herumliegt. Lösche den Avengerordner.

Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten?

Zur Sicherheit noch den hier, dann sollten wir durch sein:
http://www.symantec.com/content/en/u...writeups/D.exe

ciao, andreas

Ransom · 28.06.2009, 13:56

Hallo Andreas,

den Ordner von Avenger habe ich gelöscht, der Rechner verhält sich unauffällig.

Mich interessiert, nach welchen Kriterien du die verschiedenen Programme auswählst. Basiert das auf Erfahrung oder haben die Programme jeweils unterschiedliche stärken, die in der jeweiligen Situation genutzt werden?

Vielen Dank für deine Hilfe! Du hast mir viel Zeit und Nerven gespart.

Ransom

john.doe · 28.06.2009, 14:02

Zitat:

Basiert das auf Erfahrung

Ja.

Zitat:

oder haben die Programme jeweils unterschiedliche stärken, die in der jeweiligen Situation genutzt werden?

Ja.

Es fehlt noch das Log von Symantec. Poste ein letztes HJT-Log.

ciao, andreas

Ransom · 28.06.2009, 18:47

Das Symantec Downadup Removal Tool hat mir kein Log ausgespuckt (zumindest kann ich keins finden).

HJT:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:35, on 28.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
C:\Programme\HP Web Jetadmin\hpwebjetd.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\UPSMON\UPSMON_Service.Exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\UPSMON\UPSUSBInt2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
C:\Programme\UPSMON\UPSMON.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\CacheSys\Bin\csystray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\SpamPal\spampal.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\TOBITI~1\DVWIN32.EXE
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\WINDOWS\system32\cjpcscui.exe
c:\cachesys\bin\cservice.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\system32\cmd.exe
c:\cachesys\BIN\ctelnetd.exe
c:\cachesys\bin\cache.exe
C:\David\CODE\SL.EXE
C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
C:\David\TLD\CODE\CAPI\TLD.EXE
C:\Programme\OpenVPN\bin\openvpnserv.exe
C:\Programme\OpenVPN\bin\openvpn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UPSMON] C:\Programme\UPSMON\UPSMON.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-527237240-1960408961-839522115-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: CACHE.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: KPSInfo.lnk = C:\Programme\KPS DesignStudio 2009\KPSInfo\KPSInfo.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 192.168.0.11
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152279923000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{747D23BA-F674-4ECB-89A9-F4A39E01FCF4}: NameServer = 192.168.0.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: DvISE ClipInc 001 (DavidClipInc001) - Unknown owner - C:\David\APPS\CLIPINC\CODE\CLIPINC.EXE
O23 - Service: DvISE Discussion Server (DavidDiscussionServer) - Tobit Software - C:\David\APPS\DSERVER\CODE\DSERVER.EXE
O23 - Service: DvISE Grabbing Server (DavidGrabbingServer) - Tobit Software - C:\David\APPS\DVGRAB\CODE\DVGRAB.EXE
O23 - Service: DvISE Host (DavidHost) - Tobit Software - C:\David\APPS\DVHOST\CODE\DVHOST.EXE
O23 - Service: DvISE Mail Access Server (DavidMailAccessServer) - Tobit Software - C:\David\APPS\MASERVER\CODE\MASERVER.EXE
O23 - Service: DvISE PBXpense (DavidPBXpense) - Tobit Software - C:\David\APPS\PBXPENSE\CODE\PBXPENSE.EXE
O23 - Service: DvISE PostMan (DavidPostMan) - Tobit Software - C:\David\APPS\POSTMAN\CODE\POSTMAN.EXE
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - C:\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - C:\David\CODE\SL.EXE
O23 - Service: DvISE Show Interface Services (DavidShowInterfaceServices) - Tobit Software - C:\David\apps\showis\showis.exe
O23 - Service: DvISE TLD 001 (DavidTLD001) - Tobit Software - C:\David\TLD\CODE\CAPI\TLD.EXE
O23 - Service: DvISE TVIndex (DavidTVIndex) - Tobit Software - C:\David\APPS\TVINDEX\TVINDEX.EXE
O23 - Service: DvISE Video Capture (DavidVideoCapture) - Tobit Software - C:\David\APPS\VIDEOCPT\CODE\VIDEOC~1.EXE
O23 - Service: DvISE WebBox (DavidWebBox) - Tobit Software - C:\David\APPS\WEBBOX\CODE\WEBBOX.EXE
O23 - Service: HP Web Jetadmin (HPWebJetadmin) - Apache Software Foundation - C:\Programme\HP Web Jetadmin\hpwebjetd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TapeWare - Unknown owner - C:\Programme\TapeWare\TWWINSDR.EXE
O23 - Service: TK-Suite Server (tksock) - AGFEO - C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: UPSMONService - Unknown owner - C:\Programme\UPSMON\UPSMON_Service.Exe
O23 - Service: uvnc_service - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

john.doe · 28.06.2009, 19:11

Da ist ziemlich viel Fernsteuersoftware installiert. PCAnywhere und UltraVNC, ist das beabsichtigt?

Zudem ist da ziemlich viel ungewöhnliche Software am Laufen, z.B. KPS Design Studio. Was ist das eigentlich für ein Rechner? UPS ist für gewöhnliche Rechner eigentlich nicht gebräuchlich.

Da ist Acronis True Image am Laufen. Warum hast du nicht eine sauberes Image zurückgespielt oder läuft die Software nur um den Rechner auszubremsen?

1.) Deinstalliere SuperAntiSpyware.

2.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O2, O8, O9, O15 und O16-Einträge
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')		
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')		
O4 - HKUS\S-1-5-21-527237240-1960408961-839522115-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')		
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

=> Fix checked

ciao, andreas

Ransom · 28.06.2009, 20:32

Ja, die ganze Software ist beabsichtigt, UPSMon ist z.B. eine Software von der USV, um den Rechner bei Stromausfall nach einiger Zeit herunterzufahren. Der Windows-USV-Dienst bietet mir da zu wenig Möglichkeiten.

Ich konnte nicht genau ausmachen, wann der PC von dem Zeug befallen worden ist und wo es sich überall eingenistet hat. Daher wäre es schwierig, ein Image ohne dieses Rootkit zu finden. Zudem dauert eine Image-Rücksicherung auf das RAID-System in dem PC sehr (zu) lange.

Solange da nichts mehr auf einen Virus o.ä. hinweist, möchte ich den Rest unverändert lassen, die ganze Software ist nötig.

Danke für deine Hilfe.