Hijackthis lässt sich nicht starten

Chris4You · 22.06.2009, 16:19

Hi,

sofort das Bankkonto sperren lassen.
Deine gesamte Internetverbindung wird in die Ukraine umgeleitet!

Ob es zu retten ist, sehen wir noch (ist erstmal "nur" ein DNS-Changer);

Sofort bitte das beschriebene weitere Vorgehen abfahren (RSIT, dann MAM und zuletzt Gmer);
Dann sehen wir weiter!

chris

Mr.Icetea · 22.06.2009, 20:11

puh das ist ja eine schlechte Nachricht :-( erstmal danke für die schnelle und kompetente Hilfe. Ich frage mich, wie ich mir sowas einfangen konnte....
Ich habe ehrlich noch Angst, dass sich die malware ohne mein zutun auch auf andere Systeme ausbreiten kann!?

ok zu deinen Anweisungen:

1) Konten sind gesperrt
2) rsit:

info.txt logfile of random's system information tool 1.06 2009-06-22 19:34:50

======Uninstall list======

Avira AntiVir Professional-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Capture-A-ScreenShot-->"C:\Program Files\Capture-A-ScreenShot\unins000.exe"
DocuCom PDF Gold 8.1-->MsiExec.exe /I{A0CCCBC7-8B52-439F-89D8-91535859C9BB}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Last.fm 1.5.4.24567-->"C:\Program Files\Last.fm\unins000.exe"
Lion 3.0.2-->"C:\Program Files\Lion\unins000.exe"
Microsoft Office Small Business Edition 2003-->MsiExec.exe /I{91CA0407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Thunderbird (2.0.0.21)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
Palm Desktop-->MsiExec.exe /X{E89D78B8-28F7-412F-8B26-C684739CBBDC}
PocketMirror (Standard Trial Edition) 4.3.0-->"C:\Program Files\Chapura\PocketMirror\unins000.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
SoulSeek 157 NS 13c-->"C:\Program Files\SoulseekNS\uninstall.exe"
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
WinSCP 3.8 beta-->"C:\Program Files\WinSCP3\unins000.exe"
XnView 1.96-->"C:\Program Files\XnView\unins000.exe"

======Security center information======

AV: AntiVir Desktop
AS: Windows-Defender (outdated)
AS: AntiVir Desktop

======System event log======

Computer Name: amueller-PC
Event Code: 104
Message: Der Dienst veröffentlicht in das Netzwerk.
Record Number: 15599
Source Name: Microsoft-Windows-ResourcePublication
Time Written: 20090622153342.969328-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: amueller-PC
Event Code: 7036
Message: Dienst "Volumeschattenkopie" befindet sich jetzt im Status "Beendet".
Record Number: 15600
Source Name: Service Control Manager
Time Written: 20090622153849.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 7036
Message: Dienst "Microsoft-Softwareschattenkopie-Anbieter" befindet sich jetzt im Status "Beendet".
Record Number: 15601
Source Name: Service Control Manager
Time Written: 20090622154149.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 15602
Source Name: Service Control Manager
Time Written: 20090622154229.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 4226
Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.
Record Number: 15603
Source Name: Tcpip
Time Written: 20090622162420.477328-000
Event Type: Warnung
User:

=====Application event log=====

Computer Name: amueller-PC
Event Code: 8210
Message: Der geplante Wiederherstellungspunkt konnte nicht erstellt werden. Zusätzliche Informationen: (0x81000109).
Record Number: 1941
Source Name: System Restore
Time Written: 20090622152401.000000-000
Event Type: Fehler
User:

Computer Name: amueller-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 1942
Source Name: VSS
Time Written: 20090622153849.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 4120
Message: AntiVir hat auf Computer AMUELLER-PC (192.168.255.40) ein Update geladen und installiert!
Aktualisierte Dateien:
antivir3.vdf 7.1.4.125;
Record Number: 1943
Source Name: Avira AntiVir
Time Written: 20090622154547.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: amueller-PC
Event Code: 4120
Message: AntiVir hat auf Computer AMUELLER-PC (192.168.255.40) ein Update geladen und installiert!
Aktualisierte Dateien:
webcat1.dat; webcat2.dat;
webcat3.dat; webcat4.dat;

Record Number: 1944
Source Name: Avira AntiVir
Time Written: 20090622164540.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: amueller-PC
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Program Files\Trend Micro\HijackThis\test.com.exe verdächtigen Code mit der Bezeichnung 'HIDDENEXT/Crypted'!
Record Number: 1945
Source Name: Avira AntiVir
Time Written: 20090622173436.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6824
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153050.068328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6825
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153050.068328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6826
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153334.981328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6827
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153334.981328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6828
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153334.981328-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 12, GenuineIntel
"PROCESSOR_REVISION"=0e0c
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

Logfile of random's system information tool 1.06 (written by random/random)
Run by amueller at 2009-06-22 19:34:36
Microsoft® Windows Vista™ Home Basic
System drive C: has 47 GB (60%) free of 79 GB
Total RAM: 2037 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:49, on 22.06.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lion\Lion.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Last.fm\LastFM.exe
C:\Program Files\Capture-A-ScreenShot\Capture-A-ScreenShot.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Lion\browser.exe
C:\Program Files\Zeon\DocuCom\PDF Gold 8\bin\PDFPlus.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\Documents\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\amueller.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Lion] "C:\Program Files\Lion\Lion.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{23701ABC-4500-4D5A-AC27-E0ACC125DA56}: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

--
End of file - 5501 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1455154888-4151250377-1015525046-1000.job
C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-03-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2006-11-02 1004136]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-06-19 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Lion"=C:\Program Files\Lion\Lion.exe [2009-02-09 227429]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2006-11-02 201728]
"Google Update"=C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-25 133104]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-25 133104]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Program Files\Skype\Phone\Skype.exe [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
C:\Program Files\Windows Media Player\WMPNSCFG.exe [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-06-22 19:34:36 ----D---- C:\rsit
2009-06-22 13:48:25 ----A---- C:\Windows\ntbtlog.txt
2009-06-22 13:05:21 ----D---- C:\Program Files\Trend Micro
2009-06-19 15:58:14 ----D---- C:\Users\amueller\AppData\Roaming\Avira
2009-06-19 15:52:25 ----D---- C:\ProgramData\Avira
2009-06-19 15:52:25 ----D---- C:\Program Files\Avira
2009-06-19 14:02:19 ----D---- C:\Users\amueller\AppData\Roaming\AntiVir Workstation
2009-06-19 14:01:26 ----A---- C:\Windows\system32\avsda.dll
2009-06-19 14:01:23 ----D---- C:\ProgramData\AntiVir Workstation
2009-06-19 14:01:23 ----D---- C:\Program Files\AntiVir Workstation

======List of files/folders modified in the last 1 months======

2009-06-22 19:34:49 ----D---- C:\Windows\Temp
2009-06-22 19:34:49 ----D---- C:\Windows\Prefetch
2009-06-22 14:30:05 ----D---- C:\Program Files\Capture-A-ScreenShot
2009-06-22 13:55:48 ----D---- C:\Windows\System32
2009-06-22 13:55:48 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-22 13:55:47 ----D---- C:\Windows\inf
2009-06-22 13:48:25 ----D---- C:\Windows
2009-06-22 13:05:21 ----RD---- C:\Program Files
2009-06-19 16:22:05 ----D---- C:\Windows\SoftwareDistribution
2009-06-19 15:52:45 ----D---- C:\Windows\system32\drivers
2009-06-19 15:52:25 ----HD---- C:\ProgramData
2009-06-19 15:39:59 ----HD---- C:\Config.Msi
2009-06-19 15:39:58 ----D---- C:\Windows\winsxs
2009-06-19 15:39:38 ----SHD---- C:\Windows\Installer
2009-06-19 15:39:34 ----D---- C:\Program Files\Common Files\microsoft shared
2009-06-19 15:18:33 ----D---- C:\Windows\Tasks
2009-06-19 15:15:26 ----D---- C:\Program Files\Common Files
2009-06-19 15:15:21 ----D---- C:\ProgramData\Adobe
2009-06-17 10:42:55 ----SHD---- C:\System Volume Information
2009-06-08 15:07:40 ----D---- C:\Windows\system32\Tasks

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-06-19 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-06-19 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-19 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-06-19 55640]
R3 AgereSoftModem;Agere Systems-Softmodem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-02 983552]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2006-11-02 14208]
R3 E100B;Intel(R) PRO-Adaptertreiber; C:\Windows\system32\DRIVERS\e100b325.sys [2006-11-02 163328]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-10-19 1380864]
R3 NETw3v32;Intel(R) PRO/Wireless 3945ABG-Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-02 1781760]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2006-11-02 82432]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]
S3 PalmUSBD;PalmUSBD; C:\Windows\system32\drivers\PalmUSBD.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirMailService;Avira AntiVir MailGuard; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [2009-06-19 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-19 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-06-19 185089]
R2 AntiVirWebService;Avira AntiVir WebGuard; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2009-06-19 434945]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------

Mr.Icetea · 22.06.2009, 20:12

3) Malwarebytes: konnte ich ebenfalls erst nach Umbennung starten, so wie bei HJ-This...

log:Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 6.0.6000

22.06.2009 20:31:27
mbam-log-2009-06-22 (20-31-27).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 152779
Laufzeit: 27 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{175723c1-79b4-4b75-886b-7624a3107214}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{23701abc-4500-4d5a-ac27-e0acc125da56}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{175723c1-79b4-4b75-886b-7624a3107214}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{23701abc-4500-4d5a-ac27-e0acc125da56}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{175723c1-79b4-4b75-886b-7624a3107214}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{23701abc-4500-4d5a-ac27-e0acc125da56}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

4) gmer: bei dem link der downloadlink ging nicht auf anhieb. ich glaube da fehlt noch die raute --> http://www.gmer.net/#files

log:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-22 20:51:35
Windows 6.0.6000

---- System - GMER 1.0.15 ----

Code 86935388 ZwEnumerateKey
Code 869377E8 ZwFlushInstructionCache
Code 8693ADB5 IofCallDriver
Code 86933CCE IofCompleteRequest

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

log nach scan:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-22 21:07:33
Windows 6.0.6000

---- System - GMER 1.0.15 ----

SSDT 8C46C6D4 ZwCreateThread
SSDT 8C46C6C0 ZwOpenProcess
SSDT 8C46C6C5 ZwOpenThread
SSDT 8C46C6CF ZwTerminateProcess

Code 86935388 ZwEnumerateKey
Code 869377E8 ZwFlushInstructionCache
Code 8693ADB5 IofCallDriver
Code 86933CCE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_alloca_probe + 164 818561B4 4 Bytes [D4, C6, 46, 8C]
.text ntoskrnl.exe!_alloca_probe + 334 81856384 4 Bytes [C0, C6, 46, 8C]
.text ntoskrnl.exe!_alloca_probe + 350 818563A0 4 Bytes [C5, C6, 46, 8C]
.text ntoskrnl.exe!_alloca_probe + 574 818565C4 4 Bytes [CF, C6, 46, 8C]
.text ntoskrnl.exe!IofCallDriver 81867C65 5 Bytes JMP 8693ADBA
.text ntoskrnl.exe!IofCompleteRequest 81867CD2 5 Bytes JMP 86933CD3
PAGE ntoskrnl.exe!ZwFlushInstructionCache 819A910C 5 Bytes JMP 869377EC
PAGE ntoskrnl.exe!ZwEnumerateKey 819F0F94 5 Bytes JMP 8693538C
? system32\drivers\jehs.sys Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtCreateFile + 6 775FF41A 4 Bytes [28, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtCreateFile + B 775FF41F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenFile + 6 775FFBFA 4 Bytes [68, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenFile + B 775FFBFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcess + 6 775FFC7A 4 Bytes [A8, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcess + B 775FFC7F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessToken + 6 775FFC8A 4 Bytes CALL 76600190 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessToken + B 775FFC8F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessTokenEx + 6 775FFC9A 4 Bytes [A8, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessTokenEx + B 775FFC9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThread + 6 775FFCEA 4 Bytes [68, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThread + B 775FFCEF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadToken + 6 775FFCFA 4 Bytes [68, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadToken + B 775FFCFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadTokenEx + 6 775FFD0A 4 Bytes CALL 76600211 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadTokenEx + B 775FFD0F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryAttributesFile + 6 775FFD9A 4 Bytes [A8, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryAttributesFile + B 775FFD9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryFullAttributesFile + 6 775FFE4A 4 Bytes CALL 7660034F C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryFullAttributesFile + B 775FFE4F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationFile + 6 7760036A 4 Bytes [28, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationFile + B 7760036F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationThread + 6 776003BA 4 Bytes [28, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationThread + B 776003BF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtCreateFile + 6 775FF41A 4 Bytes [28, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtCreateFile + B 775FF41F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenFile + 6 775FFBFA 4 Bytes [68, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenFile + B 775FFBFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcess + 6 775FFC7A 4 Bytes [A8, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcess + B 775FFC7F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessToken + 6 775FFC8A 4 Bytes CALL 76600190 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessToken + B 775FFC8F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessTokenEx + 6 775FFC9A 4 Bytes [A8, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessTokenEx + B 775FFC9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThread + 6 775FFCEA 4 Bytes [68, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThread + B 775FFCEF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadToken + 6 775FFCFA 4 Bytes [68, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadToken + B 775FFCFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadTokenEx + 6 775FFD0A 4 Bytes CALL 76600211 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadTokenEx + B 775FFD0F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryAttributesFile + 6 775FFD9A 4 Bytes [A8, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryAttributesFile + B 775FFD9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryFullAttributesFile + 6 775FFE4A 4 Bytes CALL 7660034F C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryFullAttributesFile + B 775FFE4F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationFile + 6 7760036A 4 Bytes [28, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationFile + B 7760036F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationThread + 6 776003BA 4 Bytes [28, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationThread + B 776003BF 1 Byte [E2]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE[3680] @ C:\Windows\system32\ole32.dll [USER32.dll!GetSystemMetrics] [6CA711C2] C:\Windows\AppPatch\AcSpecfc.DLL (Windows Compatibility DLL/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll (*** hidden *** ) @ C:\Windows\system32\svchost.exe [812] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll

---- Files - GMER 1.0.15 ----

File C:\Windows\System32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys 48128 bytes executable <-- ROOTKIT !!!
File C:\Windows\System32\gxvxccount 4 bytes
File C:\Windows\System32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll 22529 bytes executable
File C:\Windows\System32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll 27649 bytes executable

---- EOF - GMER 1.0.15 ----

So das hat jetzt ein Weilchen gedauert....

Mr.Icetea · 22.06.2009, 20:23

alle drei tools haben also was gefunden. unter anderem auch ein Rootkit

wie es aussieht.....

Selbstverständlich vertraue ich deiner Kompetenz, jetzt bin ich aber gerade an dem Punkt, wo ich denke es wäre wahrscheinlich sicherer und auch unkomplizierter das System neu aufzusetzen. Mein Problem ist momentan, dass ich erstens sicher gehen muss, dass ich keine anderen Systeme kompromittiert habe und zweitens, dass es nicht nochmal passiert.

Vista war auf meinem Laptop vorinstalliert. Eine CD ("anytime upgrade") wurde mitgeliefert. Kriege ich mit dieser "recovery" Variante meine Festplatte sauber, oder besteht die Gefahr, dass ich dasselbe Problem im Nachhinein immernoch habe?
Ich werde einige Daten vorher sicher müssen, wie meine outlook pst usw. Muss ich was beachten?

Auf jeden Fall vielen Dank für die Unterstützung, allein wär ich ziemlich aufgeschmissen....

Chris4You · 23.06.2009, 07:04

Hi,

eine Verseuchung der anderen Rechner wäre möglich, allerdings kann das erst gesagt werden, wenn der Rootkit weg ist.

Daher alle "angehängten" Rechner ebenfalls prüfen (MAM und GMER).

So, versuchen wir den Rechner mal wieder "frei" zu bekommen, damit wir sehen können was dass Rootkit so alles unter seinem Tarnmäntelchen versteckt...

ComboFix sollte das Teil eigentlich schaffen, vorher MAM updaten, ComboFix runterladen und dann offline gehen und beide Tools "rennen" lassen:
(Sonst machen wir eine Bereinigung über Avenger...)

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Beide Logs posten.

Wenn von der Anytime DVD installiert wird, dann müsste eine erneute Aktivierung anstehen (da kenne ich mich leider nicht so gut aus...)...

chris

Mr.Icetea · 23.06.2009, 09:47

Hallo Chris,

ich werde den scan erst heute nachmittag bzw abend schaffen. Soll ich vor combofix noch den CCleaner drüberlaufen lassen?
Das mit dem Anytime DVD habe ich nicht verstanden. Eigentlich habe ich das nicht installiert....

Danke schonmal

Mr.Icetea · 24.06.2009, 17:55

Guten Abend Chris,

anbei die Protokolle der letzten beiden Scans.

MAM:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2325
Windows 6.0.6000

23.06.2009 18:42:05
mbam-log-2009-06-23 (18-42-05).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|H:\|)
Durchsuchte Objekte: 203265
Laufzeit: 1 hour(s), 13 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Combofix:
ComboFix 09-06-22.08 - amueller 24.06.2009 18:38.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.49.1031.18.2037.1269 [GMT 2:00]
ausgeführt von:: c:\users\amueller\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
SP: AntiVir Desktop *disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
SP: Windows-Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2365545147-1999384947-2466353664-500
c:\$recycle.bin\S-1-5-21-2365545147-1999384947-2466353664-500\desktop.ini
c:\users\amueller\AppData\Local\Temp\install_flash_player.exe
c:\windows\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
c:\windows\system32\gxvxccount
c:\windows\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll
c:\windows\system32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys

((((((((((((((((((((((( Dateien erstellt von 2009-05-24 bis 2009-06-24 ))))))))))))))))))))))))))))))
.

2009-06-24 16:44 . 2009-06-24 16:45 -------- d-----w- c:\users\amueller\AppData\Local\temp
2009-06-23 07:48 . 2009-06-23 07:48 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-06-23 07:48 . 2009-06-23 07:48 43544 ----a-w- c:\windows\system32\wups2.dll
2009-06-23 07:48 . 2009-06-23 07:48 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-06-23 07:48 . 2009-06-23 07:48 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-06-23 07:48 . 2009-06-23 07:48 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-06-23 07:48 . 2009-06-23 07:48 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-06-23 07:48 . 2009-06-23 07:48 34328 ----a-w- c:\windows\system32\wups.dll
2009-06-23 07:47 . 2009-06-23 07:47 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-06-23 07:47 . 2009-06-23 07:47 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-06-22 17:51 . 2009-06-22 17:51 -------- d-----w- c:\users\amueller\AppData\Roaming\Malwarebytes
2009-06-22 17:48 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-22 17:48 . 2009-06-22 17:48 -------- d-----w- c:\programdata\Malwarebytes
2009-06-22 17:48 . 2009-06-22 17:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-22 17:48 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-22 17:34 . 2009-06-22 17:34 -------- d-----w- C:\rsit
2009-06-22 11:05 . 2009-06-22 11:05 -------- d-----w- c:\program files\Trend Micro
2009-06-19 13:58 . 2009-06-19 13:58 -------- d-----w- c:\users\amueller\AppData\Roaming\Avira
2009-06-19 13:52 . 2009-06-19 13:39 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-19 13:52 . 2009-06-19 13:52 -------- d-----w- c:\programdata\Avira
2009-06-19 13:52 . 2009-06-19 13:52 -------- d-----w- c:\program files\Avira
2009-06-19 13:09 . 2009-06-19 13:09 18689 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\prof-nt\rcnwload_en.dll
2009-06-19 13:08 . 2009-06-19 13:08 53505 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\basic-nt\guardgui.exe
2009-06-19 12:12 . 2009-06-19 12:12 13569 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\msgclient.dll
2009-06-19 12:12 . 2009-06-19 12:12 258305 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\mgrs.dll
2009-06-19 12:12 . 2009-06-19 12:12 164097 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\luke.dll
2009-06-19 12:12 . 2009-06-19 12:12 12033 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\lukeres.dll
2009-06-19 12:12 . 2009-06-19 12:12 9985 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\licmgr.dll
2009-06-19 12:12 . 2009-06-19 12:12 123137 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\licmgr.exe
2009-06-19 12:12 . 2009-06-19 12:12 46337 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\guardmsg.dll
2009-06-19 12:07 . 2009-06-19 12:07 94465 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\avsda.dll
2009-06-19 12:06 . 2009-06-19 12:06 18689 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\prof-nt\rcnwload_en.dll
2009-06-19 12:05 . 2009-06-19 12:05 12545 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\ccupdrc.dll
2009-06-19 12:03 . 2009-06-19 12:03 18689 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\prof-nt\rcnwload_en.dll
2009-06-19 12:02 . 2009-06-19 12:02 5889 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\basic-nt\cclicrc.dll
2009-06-19 12:01 . 2007-02-27 13:18 40000 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-19 12:01 . 2006-11-22 12:30 14848 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-19 12:01 . 2009-06-19 13:39 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-19 12:01 . 2009-06-19 13:20 -------- d-----w- c:\program files\AntiVir Workstation
2009-06-19 12:01 . 2009-06-19 12:01 -------- d-----w- c:\programdata\AntiVir Workstation

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-24 16:44 . 2006-11-02 15:38 644844 ----a-w- c:\windows\system32\perfh007.dat
2009-06-24 16:44 . 2006-11-02 15:38 117724 ----a-w- c:\windows\system32\perfc007.dat
2009-06-24 13:57 . 2008-12-04 12:32 -------- d-----w- c:\program files\Capture-A-ScreenShot
2009-06-19 13:09 . 2009-06-19 13:09 106753 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\prof-nt\rchelp.dll
2009-06-19 13:08 . 2009-06-19 13:08 23297 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\basic-nt\factrc.dll
2009-06-19 12:11 . 2009-06-19 12:11 53505 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\guardgui.exe
2009-06-19 12:07 . 2009-06-19 12:07 75096 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\avipbb.sys
2009-06-19 12:06 . 2009-06-19 12:06 106753 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\prof-nt\rchelp.dll
2009-06-19 12:05 . 2009-06-19 12:05 110849 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\ccupdate.dll
2009-06-19 12:03 . 2009-06-19 12:03 106753 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\prof-nt\rchelp.dll
2009-06-19 12:02 . 2009-06-19 12:02 20737 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\basic-nt\ccmainrc.dll
2009-06-19 12:01 . 2009-06-19 12:01 117284 ----a-w- c:\programdata\firstlsp.reg.dat
2009-05-08 10:05 . 2009-02-27 17:06 -------- d-----w- c:\users\amueller\AppData\Roaming\Skype
2009-05-08 09:45 . 2009-02-27 17:08 -------- d-----w- c:\users\amueller\AppData\Roaming\skypePM
2009-03-30 13:42 . 2009-03-30 13:42 54 ----a-w- c:\programdata\Last.fm\Client\uninst2.bat
2009-03-30 13:42 . 2009-03-30 13:42 683801 ----a-w- c:\programdata\Last.fm\Client\UninstWMP\unins000.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lion"="c:\program files\Lion\Lion.exe" [2009-02-09 227429]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
"Google Update"="c:\users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-01-25 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-06-19 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{96744A12-EF47-492B-A26E-E10F2FE61455}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{912F19AA-2AD6-4B75-97E6-B4AF94F25251}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{6C71C942-1173-405A-81CC-C174340FE2DA}c:\\program files\\sony handheld\\hotsync.exe"= UDP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"UDP Query User{B8523725-E0B3-49D6-B571-44D03994BC42}c:\\program files\\sony handheld\\hotsync.exe"= TCP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"TCP Query User{1928E562-71BD-412E-ACA9-B5B587964629}c:\\users\\amueller\\appdata\\local\\google\\chrome\\application\\chrome.exe"= UDP:c:\users\amueller\appdata\local\google\chrome\application\chrome.exe:chrome.exe
"UDP Query User{4FE7CDBF-3B48-4B17-B6E5-8631464AED36}c:\\users\\amueller\\appdata\\local\\google\\chrome\\application\\chrome.exe"= TCP:c:\users\amueller\appdata\local\google\chrome\application\chrome.exe:chrome.exe
"TCP Query User{02A2E34E-AC53-457F-AB1C-E41D03603A86}c:\\program files\\sony handheld\\hotsync.exe"= UDP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"UDP Query User{CFDA3250-E20B-43DC-8FD8-2F28D17CC435}c:\\program files\\sony handheld\\hotsync.exe"= TCP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"TCP Query User{535A83F2-A4A0-47DC-9F1D-242A55097DCD}c:\\program files\\soulseekns\\slsk.exe"= UDP:c:\program files\soulseekns\slsk.exe:SoulSeek
"UDP Query User{564FE6D9-1525-4726-9912-E0F0706A3381}c:\\program files\\soulseekns\\slsk.exe"= TCP:c:\program files\soulseekns\slsk.exe:SoulSeek
"{B34238AF-11E1-4F2B-A494-E4162ABB0E9E}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{8CEF7521-D7BB-495B-9819-697C5B8D9C65}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{ECE87647-B533-4AA2-803C-B7AB982D94C4}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{5E892050-2C0F-4AF7-9B66-23D7F7349708}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{773DCAD2-85EC-4117-B3B6-15BF31BC5FF3}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{335B5509-534C-440F-8B17-B23CA8062CE0}"= c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{51B2747D-3997-45EE-9E9F-E8CC1230B995}c:\\program files\\java\\jre6\\bin\\java.exe"= UDP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{4F71EB62-D630-4C92-BDEB-594136BBAC5A}c:\\program files\\java\\jre6\\bin\\java.exe"= TCP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [19.06.2009 15:52 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [19.06.2009 15:52 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [19.06.2009 15:52 434945]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1455154888-4151250377-1015525046-1000.job
- c:\users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-25 12:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: registration.sonystyle-europe.com
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-24 18:45
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2009-06-24 18:46
ComboFix-quarantined-files.txt 2009-06-24 16:46

Vor Suchlauf: 14 Verzeichnis(se), 49.533.202.432 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 50.276.716.544 Bytes frei

161

Viele Grüße aus Berlin

Hijackthis lässt sich nicht starten

Log-Analyse und Auswertung: Hijackthis lässt sich nicht starten