Bitte HiJackThis prüfen, möglicher Trojaner!

kira · 14.09.2009, 23:25

hi

lade bitte bei Virustotal hoch:
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:

Code:

ATTFilter

schl.exe

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)

Damiani · 15.09.2009, 16:25

So, hab es jetzt rüberlaufen lassen, hier ist das, was dabei rauskam:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.24	2009.09.15	-
AhnLab-V3	5.0.0.2	2009.09.15	-
AntiVir	7.9.1.14	2009.09.15	-
Antiy-AVL	2.0.3.7	2009.09.15	-
Authentium	5.1.2.4	2009.09.15	-
Avast	4.8.1351.0	2009.09.14	-
AVG	8.5.0.412	2009.09.15	-
BitDefender	7.2	2009.09.15	-
CAT-QuickHeal	10.00	2009.09.15	-
ClamAV	0.94.1	2009.09.15	-
Comodo	2326	2009.09.15	-
DrWeb	5.0.0.12182	2009.09.15	-
eSafe	7.0.17.0	2009.09.15	-
eTrust-Vet	31.6.6738	2009.09.15	-
F-Prot	4.5.1.85	2009.09.15	-
F-Secure	8.0.14470.0	2009.09.15	-
Fortinet	3.120.0.0	2009.09.15	-
GData	19	2009.09.15	-
Ikarus	T3.1.1.72.0	2009.09.15	-
Jiangmin	11.0.800	2009.09.15	-
K7AntiVirus	7.10.845	2009.09.15	-
Kaspersky	7.0.0.125	2009.09.15	-
McAfee	5741	2009.09.14	-
McAfee+Artemis	5741	2009.09.14	-
McAfee-GW-Edition	6.8.5	2009.09.15	-
Microsoft	1.5005	2009.09.15	-
NOD32	4427	2009.09.15	a variant of Win32/Injector.ZJ
Norman	6.01.09	2009.09.15	-
nProtect	2009.1.8.0	2009.09.15	-
Panda	10.0.2.2	2009.09.14	-
PCTools	4.4.2.0	2009.09.14	-
Prevx	3.0	2009.09.15	-
Rising	21.47.14.00	2009.09.15	-
Sophos	4.45.0	2009.09.15	-
Sunbelt	3.2.1858.2	2009.09.15	-
Symantec	1.4.4.12	2009.09.15	-
TheHacker	6.3.4.4.404	2009.09.15	-
TrendMicro	8.950.0.1094	2009.09.15	-
VBA32	3.12.10.10	2009.09.14	-
ViRobot	2009.9.15.1937	2009.09.15	-
VirusBuster	4.6.5.0	2009.09.14	-
weitere Informationen
File size: 157696 bytes
MD5...: cc49055b671da3ef11f185525b91fcc6
SHA1..: 8a0aa9474c5b3ac9a967f3d4a83518f621d3c49d
SHA256: b472a2f85bb7129de229f8c823414975ed262245fc02668d2a981f37756258b4
ssdeep: 3072:wFb4+Q8wJno2cnSo2IZMe277rDsC5z5n5mnMXl1aNaJOsJ:ubVlw9qSWBU7
rDsC35dV8Na0s
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x49bc
timedatestamp.....: 0x4aa1c799 (Sat Sep 05 02:06:17 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bae 0x3c00 5.71 f75f397cb63fb66ea33ea07a3be8945d
.rdata 0x5000 0x8fe 0xa00 4.86 8890580a53577715c21bf12a27331a78
.data 0x6000 0x874 0x800 5.96 130118eb69a79fd162c1922f4bda36b8
.rsrc 0x7000 0x21408 0x21600 7.79 8471db664461d440e6187adcf0e3a3fe

( 6 imports )
> KERNEL32.dll: GetCurrentThread, GetTickCount, GetStartupInfoA, GetModuleHandleA, CreateThread, Sleep
> USER32.dll: SetWindowPos, PostQuitMessage, DestroyWindow, DefWindowProcA, DispatchMessageA, TranslateMessage, GetMessageA, UpdateWindow, ShowWindow, CreateWindowExA, RegisterClassExA, SetWindowPlacement, LoadIconA, MessageBoxA, MsgWaitForMultipleObjects, LoadCursorA
> ole32.dll: CoInitialize
> GDI32.dll: GetStockObject
> MSVCP60.dll: __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z
> MSVCRT.dll: malloc, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _except_handler3, _EH_prolog, strcpy, memcpy, strlen, __2@YAPAXI@Z, getenv, sprintf, _stricmp, memset, memmove, strcmp, __CxxFrameHandler

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)

kira · 15.09.2009, 23:30

hi

Ich möchte, dass die Ergebnisse die Dateiname auch beinhaltet!
Beispiel - das zu postende logfile von virustotal soll so wie hier aussehen :

Code:

ATTFilter

Datei schl.exe  empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-
Avast	4.8.1281.0	2009.01.27	-
AVG	8.0.0.229	2009.01.28	-

- also bitte die Dateiüberprüfung wiederholen!
- genaue Pfad mir bitte auch angeben "C:\...

Damiani · 15.09.2009, 23:42

Code:

ATTFilter

Datei schl.exe empfangen 2009.09.15 22:36:38 (UTC)
Ergebnis: 1/41 (2.44%)
	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.09.16	-
AhnLab-V3	5.0.0.2	2009.09.15	-
AntiVir	7.9.1.18	2009.09.15	-
Antiy-AVL	2.0.3.7	2009.09.15	-
Authentium	5.1.2.4	2009.09.15	-
Avast	4.8.1351.0	2009.09.15	-
AVG	8.5.0.412	2009.09.16	-
BitDefender	7.2	2009.09.15	-
CAT-QuickHeal	10.00	2009.09.15	-
ClamAV	0.94.1	2009.09.15	-
Comodo	2330	2009.09.16	-
DrWeb	5.0.0.12182	2009.09.16	-
eSafe	7.0.17.0	2009.09.15	-
eTrust-Vet	31.6.6739	2009.09.16	-
F-Prot	4.5.1.85	2009.09.15	-
F-Secure	8.0.14470.0	2009.09.15	-
Fortinet	3.120.0.0	2009.09.15	-
GData	19	2009.09.15	-
Ikarus	T3.1.1.72.0	2009.09.15	-
Jiangmin	11.0.800	2009.09.15	-
K7AntiVirus	7.10.845	2009.09.15	-
Kaspersky	7.0.0.125	2009.09.15	-
McAfee	5742	2009.09.15	-
McAfee+Artemis	5742	2009.09.15	-
McAfee-GW-Edition	6.8.5	2009.09.15	-
Microsoft	1.5005	2009.09.16	-
NOD32	4427	2009.09.15	a variant of Win32/Injector.ZJ
Norman	6.01.09	2009.09.15	-
nProtect	2009.1.8.0	2009.09.15	-
Panda	10.0.2.2	2009.09.15	-
PCTools	4.4.2.0	2009.09.14	-
Prevx	3.0	2009.09.16	-
Rising	21.47.14.00	2009.09.15	-
Sophos	4.45.0	2009.09.15	-
Sunbelt	3.2.1858.2	2009.09.15	-
Symantec	1.4.4.12	2009.09.16	-
TheHacker	6.3.4.4.404	2009.09.15	-
TrendMicro	8.950.0.1094	2009.09.15	-
VBA32	3.12.10.10	2009.09.15	-
ViRobot	2009.9.15.1937	2009.09.15	-
VirusBuster	4.6.5.0	2009.09.15	-
weitere Informationen
File size: 157696 bytes
MD5...: cc49055b671da3ef11f185525b91fcc6
SHA1..: 8a0aa9474c5b3ac9a967f3d4a83518f621d3c49d
SHA256: b472a2f85bb7129de229f8c823414975ed262245fc02668d2a981f37756258b4
ssdeep: 3072:wFb4+Q8wJno2cnSo2IZMe277rDsC5z5n5mnMXl1aNaJOsJ:ubVlw9qSWBU7
rDsC35dV8Na0s
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x49bc
timedatestamp.....: 0x4aa1c799 (Sat Sep 05 02:06:17 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bae 0x3c00 5.71 f75f397cb63fb66ea33ea07a3be8945d
.rdata 0x5000 0x8fe 0xa00 4.86 8890580a53577715c21bf12a27331a78
.data 0x6000 0x874 0x800 5.96 130118eb69a79fd162c1922f4bda36b8
.rsrc 0x7000 0x21408 0x21600 7.79 8471db664461d440e6187adcf0e3a3fe

( 6 imports )
> KERNEL32.dll: GetCurrentThread, GetTickCount, GetStartupInfoA, GetModuleHandleA, CreateThread, Sleep
> USER32.dll: SetWindowPos, PostQuitMessage, DestroyWindow, DefWindowProcA, DispatchMessageA, TranslateMessage, GetMessageA, UpdateWindow, ShowWindow, CreateWindowExA, RegisterClassExA, SetWindowPlacement, LoadIconA, MessageBoxA, MsgWaitForMultipleObjects, LoadCursorA
> ole32.dll: CoInitialize
> GDI32.dll: GetStockObject
> MSVCP60.dll: __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z
> MSVCRT.dll: malloc, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _except_handler3, _EH_prolog, strcpy, memcpy, strlen, __2@YAPAXI@Z, getenv, sprintf, _stricmp, memset, memmove, strcmp, __CxxFrameHandler

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)

So, das müsste es sein.

Der Pfad lautet:

C:\RECYCLER\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe

kira · 15.09.2009, 23:54

da die Datei noch "Relativ unbekannt" ist, lass uns sie noch schnell hochladen, damit sie zu den AV-Programm Herstellern weitergeleitet werden kann bzw zur weitere Analyse:

Datei Upload

Klicke bitte auf diesen Link UploadMalware.com

Gib im obersten Feld deinen Namen ein
Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/77299-b...rojaner-2.html)
Lade dann diese Datei von deinem Rechner hoch:

C:\RECYCLER\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe

Gib im Kommentarfeld Folgendes an:
"Unknown file"
deine eMail Adresse, damit du benachrichtigt werden kannst, um was es sich bei dieser Datei handelt.
diese Information:

Code:

ATTFilter

Datei schl.exe empfangen 2009.09.15 22:36:38 (UTC)
Ergebnis: 1/41 (2.44%)
	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.09.16	-
AhnLab-V3	5.0.0.2	2009.09.15	-
AntiVir	7.9.1.18	2009.09.15	-
Antiy-AVL	2.0.3.7	2009.09.15	-
Authentium	5.1.2.4	2009.09.15	-
Avast	4.8.1351.0	2009.09.15	-
AVG	8.5.0.412	2009.09.16	-
BitDefender	7.2	2009.09.15	-
CAT-QuickHeal	10.00	2009.09.15	-
ClamAV	0.94.1	2009.09.15	-
Comodo	2330	2009.09.16	-
DrWeb	5.0.0.12182	2009.09.16	-
eSafe	7.0.17.0	2009.09.15	-
eTrust-Vet	31.6.6739	2009.09.16	-
F-Prot	4.5.1.85	2009.09.15	-
F-Secure	8.0.14470.0	2009.09.15	-
Fortinet	3.120.0.0	2009.09.15	-
GData	19	2009.09.15	-
Ikarus	T3.1.1.72.0	2009.09.15	-
Jiangmin	11.0.800	2009.09.15	-
K7AntiVirus	7.10.845	2009.09.15	-
Kaspersky	7.0.0.125	2009.09.15	-
McAfee	5742	2009.09.15	-
McAfee+Artemis	5742	2009.09.15	-
McAfee-GW-Edition	6.8.5	2009.09.15	-
Microsoft	1.5005	2009.09.16	-
NOD32	4427	2009.09.15	a variant of Win32/Injector.ZJ
Norman	6.01.09	2009.09.15	-
nProtect	2009.1.8.0	2009.09.15	-
Panda	10.0.2.2	2009.09.15	-
PCTools	4.4.2.0	2009.09.14	-
Prevx	3.0	2009.09.16	-
Rising	21.47.14.00	2009.09.15	-
Sophos	4.45.0	2009.09.15	-
Sunbelt	3.2.1858.2	2009.09.15	-
Symantec	1.4.4.12	2009.09.16	-
TheHacker	6.3.4.4.404	2009.09.15	-
TrendMicro	8.950.0.1094	2009.09.15	-
VBA32	3.12.10.10	2009.09.15	-
ViRobot	2009.9.15.1937	2009.09.15	-
VirusBuster	4.6.5.0	2009.09.15	-
weitere Informationen
File size: 157696 bytes
MD5...: cc49055b671da3ef11f185525b91fcc6
SHA1..: 8a0aa9474c5b3ac9a967f3d4a83518f621d3c49d
SHA256: b472a2f85bb7129de229f8c823414975ed262245fc02668d2a981f37756258b4
ssdeep: 3072:wFb4+Q8wJno2cnSo2IZMe277rDsC5z5n5mnMXl1aNaJOsJ:ubVlw9qSWBU7
rDsC35dV8Na0s
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x49bc
timedatestamp.....: 0x4aa1c799 (Sat Sep 05 02:06:17 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bae 0x3c00 5.71 f75f397cb63fb66ea33ea07a3be8945d
.rdata 0x5000 0x8fe 0xa00 4.86 8890580a53577715c21bf12a27331a78
.data 0x6000 0x874 0x800 5.96 130118eb69a79fd162c1922f4bda36b8
.rsrc 0x7000 0x21408 0x21600 7.79 8471db664461d440e6187adcf0e3a3fe

( 6 imports )
> KERNEL32.dll: GetCurrentThread, GetTickCount, GetStartupInfoA, GetModuleHandleA, CreateThread, Sleep
> USER32.dll: SetWindowPos, PostQuitMessage, DestroyWindow, DefWindowProcA, DispatchMessageA, TranslateMessage, GetMessageA, UpdateWindow, ShowWindow, CreateWindowExA, RegisterClassExA, SetWindowPlacement, LoadIconA, MessageBoxA, MsgWaitForMultipleObjects, LoadCursorA
> ole32.dll: CoInitialize
> GDI32.dll: GetStockObject
> MSVCP60.dll: __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z
> MSVCRT.dll: malloc, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _except_handler3, _EH_prolog, strcpy, memcpy, strlen, __2@YAPAXI@Z, getenv, sprintf, _stricmp, memset, memmove, strcmp, __CxxFrameHandler

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)

Drücke nun auf den Button "Send File"
**Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
.

Damiani · 15.09.2009, 23:58

Hochladen ist gelungen.

Damiani · 16.09.2009, 21:03

Und wie sieht jetzt der nächste Schritt aus?

kira · 16.09.2009, 22:47

hi

Bevor wir witer machen:
Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw)
Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks
Mache das jetzt bitte!

- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen, halte dabei die Shift-Taste gedrückt!
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!: Vor dem Speichern auf Desktop, benenne ComboFix.exe um in "cftest.exe" - installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Damiani · 17.09.2009, 17:13

So, der hat mir das ganze eklige Zeug weggelöscht, was mir bekannt war. Wenn ich mich nicht irre, dann muss ich dir tausend Dank aussprechen.

Hier noch zur Log-File:

Code:

ATTFilter

ComboFix 09-09-16.05 - Administrator 17.09.2009 18:06.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.959.683 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cftest.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-9565980191-9182257228-485767978-5392
c:\recycler\S-1-5-21-9565980191-9182257228-485767978-5392\Desktop.ini
c:\recycler\S-1-5-21-9565980191-9182257228-485767978-5392\schl.exe
c:\syos\Downloaded Program Files\bdcore.dll
c:\syos\Downloaded Program Files\libfn.dll
F:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2009-08-17 bis 2009-09-17  ))))))))))))))))))))))))))))))
.

2009-09-16 22:13 . 2009-09-16 22:13	--------	d-----w-	c:\syos\system32\KB905474
2009-09-16 22:13 . 2009-03-10 20:26	1436544	----a-w-	c:\syos\system32\KB905474\wganotifypackageinner.exe
2009-09-16 22:13 . 2009-03-10 20:18	455048	----a-w-	c:\syos\system32\KB905474\wgasetup.exe
2009-09-16 16:05 . 2009-09-16 16:05	--------	d-----w-	c:\syos\ServicePackFiles
2009-09-15 23:12 . 2009-09-15 23:20	--------	d-----w-	c:\syos\system32\CatRoot_bak
2009-09-15 23:11 . 2008-06-14 17:57	273024	------w-	c:\syos\system32\drivers\bthport.sys
2009-09-15 22:09 . 2009-09-15 22:09	--------	d-s---w-	c:\dokumente und einstellungen\Administrator\UserData
2009-09-15 18:07 . 2009-09-17 15:57	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Tracing
2009-09-15 18:06 . 2009-09-15 18:06	--------	d-----w-	c:\programme\Microsoft
2009-09-15 18:06 . 2009-09-15 18:06	--------	d-----w-	c:\programme\Windows Live SkyDrive
2009-09-15 18:06 . 2009-09-15 18:06	--------	d-----w-	c:\programme\Windows Live
2009-09-15 18:03 . 2009-09-15 18:03	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2009-09-14 18:27 . 2009-09-14 18:32	--------	d-----w-	c:\syos\BDOSCAN8
2009-09-14 13:30 . 2009-09-14 13:30	--------	d-----w-	c:\dokumente und einstellungen\Administrator\DoctorWeb
2009-09-13 16:48 . 2009-09-13 16:48	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2009-09-12 23:23 . 2009-09-13 13:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-10 21:39 . 2009-09-15 18:07	12568	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-10 18:16 . 2009-09-10 18:16	--------	d-----w-	c:\programme\CCleaner
2009-09-10 17:49 . 2009-09-10 17:50	--------	d-----w-	c:\programme\Unlocker
2009-09-10 17:44 . 2009-09-10 19:42	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-09-10 17:38 . 2009-09-10 17:38	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GHISLER
2009-09-10 16:45 . 2009-09-10 16:45	--------	d-----w-	C:\totalcmd
2009-09-10 16:45 . 2009-09-10 16:45	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GHISLER
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\UC.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\RAR.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\PKZIP.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\PKUNZIP.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\NOCLOSE.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\LHA.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\ARJ.PIF
2009-09-10 16:38 . 2009-09-10 16:38	--------	d-----w-	c:\programme\Trend Micro
2009-09-10 16:32 . 2009-09-10 16:32	0	----a-w-	c:\syos\nsreg.dat
2009-09-10 16:32 . 2009-09-10 16:32	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-09-10 15:45 . 2009-09-10 15:45	604140	--sha-w-	c:\syos\system32\drivers\ISwift3.dat
2009-09-10 15:38 . 2009-09-10 21:27	107547	----a-w-	c:\syos\system32\drivers\klin.dat
2009-09-10 15:38 . 2009-09-10 21:27	95259	----a-w-	c:\syos\system32\drivers\klick.dat
2009-09-10 15:37 . 2009-09-17 15:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-10 15:37 . 2009-09-10 15:37	--------	d-----w-	c:\programme\Kaspersky Lab
2009-09-10 15:37 . 2009-09-10 15:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-16 16:16 . 2001-08-18 11:00	48354	----a-w-	c:\syos\system32\perfc007.dat
2009-09-16 16:16 . 2001-08-18 11:00	316924	----a-w-	c:\syos\system32\perfh007.dat
2009-09-10 16:00 . 2009-05-24 13:30	128016	----a-w-	c:\syos\system32\drivers\kl1.sys
2009-09-09 21:48 . 2009-09-09 21:48	--------	d-----w-	c:\programme\Realtek
2009-09-09 21:48 . 2009-09-09 21:48	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-09-09 21:48 . 2009-09-09 21:48	--------	d-----w-	c:\programme\DIFX
2009-09-09 21:46 . 2009-09-09 21:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2009-09-09 21:35 . 2009-09-09 21:35	--------	d-----w-	c:\programme\Windows Media-Komponenten
2009-09-09 21:31 . 2009-09-09 21:31	--------	d-----w-	c:\programme\microsoft frontpage
2009-09-09 21:30 . 2009-09-09 21:30	--------	d-----w-	c:\programme\Online-Dienste
2009-09-09 21:29 . 2009-09-09 21:29	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2009-09-09 21:28 . 2009-09-09 21:28	21740	----a-w-	c:\syos\system32\emptyregdb.dat
2009-08-14 04:58 . 2009-09-10 17:44	7396	----a-w-	c:\syos\system32\drivers\pctcore.cat
2009-08-05 09:05 . 2004-08-03 21:57	206336	----a-w-	c:\syos\system32\mswebdvd.dll
2009-07-29 04:48 . 2004-08-03 21:57	119808	----a-w-	c:\syos\system32\t2embed.dll
2009-07-29 04:48 . 2001-08-18 11:00	82432	----a-w-	c:\syos\system32\fontsub.dll
2009-07-26 14:44 . 2009-07-26 14:44	48448	----a-w-	c:\syos\system32\sirenacm.dll
2009-07-17 18:56 . 2004-08-03 21:57	58880	----a-w-	c:\syos\system32\atl.dll
2009-07-13 08:08 . 2004-08-03 21:57	286720	----a-w-	c:\syos\system32\wmpdxm.dll
2009-06-26 16:17 . 2004-08-03 21:57	665088	----a-w-	c:\syos\system32\wininet.dll
2009-06-26 16:16 . 2004-08-03 21:57	81920	----a-w-	c:\syos\system32\ieencode.dll
2009-06-25 18:34 . 2004-08-03 21:57	95744	----a-w-	c:\syos\system32\mqsec.dll
2009-06-25 18:34 . 2004-08-03 21:57	661504	----a-w-	c:\syos\system32\mqqm.dll
2009-06-25 18:34 . 2004-08-03 21:57	533504	----a-w-	c:\syos\system32\mqutil.dll
2009-06-25 18:34 . 2004-08-03 21:57	517120	----a-w-	c:\syos\system32\mqsnap.dll
2009-06-25 18:34 . 2004-08-03 21:57	48640	----a-w-	c:\syos\system32\mqupgrd.dll
2009-06-25 18:34 . 2004-08-03 21:57	47104	----a-w-	c:\syos\system32\mqdscli.dll
2009-06-25 18:34 . 2004-08-03 21:57	225280	----a-w-	c:\syos\system32\mqoa.dll
2009-06-25 18:34 . 2004-08-03 21:57	186880	----a-w-	c:\syos\system32\mqtrig.dll
2009-06-25 18:34 . 2004-08-03 21:57	177152	----a-w-	c:\syos\system32\mqrt.dll
2009-06-25 18:34 . 2004-08-03 21:57	16896	----a-w-	c:\syos\system32\mqise.dll
2009-06-25 18:34 . 2004-08-03 21:57	138240	----a-w-	c:\syos\system32\mqad.dll
2009-06-25 18:34 . 2004-08-03 21:57	123392	----a-w-	c:\syos\system32\mqrtdep.dll
2009-06-22 11:49 . 2004-08-03 21:58	117248	----a-w-	c:\syos\system32\mqtgsvc.exe
2009-06-22 11:49 . 2004-08-03 21:58	19968	----a-w-	c:\syos\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-03 21:58	4608	----a-w-	c:\syos\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 19:58	91776	----a-w-	c:\syos\system32\drivers\mqac.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\syos\system32\NvCpl.dll" [2006-10-31 7634944]
"NvMediaCenter"="c:\syos\system32\NvMcTray.dll" [2006-10-31 86016]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
"nwiz"="nwiz.exe" - c:\syos\system32\nwiz.exe [2006-10-31 1622016]
"RTHDCPL"="RTHDCPL.EXE" - c:\syos\RTHDCPL.exe [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" - c:\syos\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\syos\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\syos\system32\tscupgrd.exe" [2004-08-03 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\syos\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\syos\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\syos\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
.
Inhalt des "geplante Tasks" Ordners

2009-09-17 c:\syos\Tasks\WGASetup.job
- c:\syos\system32\KB905474\wgasetup.exe [2009-09-16 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
TCP: {F0AF7CB4-E62E-4A3C-9DCE-AEB1889C4456} = 62.109.123.197 213.191.74.19
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\nclyxb5a.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-17 18:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\SYOS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\SYOS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2009-09-17 18:09
ComboFix-quarantined-files.txt  2009-09-17 16:09

Vor Suchlauf: 10 Verzeichnis(se), 77.277.200.384 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 77.504.249.856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\SYOS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\SYOS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

188	--- E O F ---	2009-09-16 22:13

kira · 18.09.2009, 23:22

hi

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

- Ordnerinhalt überall markieren und löschen

3.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

4.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

*** Wie läuft der Rechner denn nun?

Damiani · 19.09.2009, 14:41

So, ich hab bis jetzt alles befolgt, außer das bei 4. stehen geblieben bin.
Da steht jetzt schon seit ca. 3 1/2 Stunden:

"Please wait while the installer determines your disk space requirements..."

Ist das normal?

Angeschlossen ist eine Festplatte mit 200 GB und eine externe mit 500.

Damiani · 19.09.2009, 17:59

Von 13 bis 19 Uhr stand da ständig

Zitat:

Zitat von Damiani

"Please wait while the installer determines your disk space requirements..."

So brach ich ab, ist das normal?

Damiani · 20.09.2009, 17:10

So, bin alles durchgeganegn, aber gefunden habe ich nichts:

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 09/20/2009 bei 06:09 PM

Version der Applikation : 4.29.1002

Version der Kern-Datenbank : 4112
Version der Spur-Datenbank : 2052

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:20:33

Gescannte Speicherelemente  : 567
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 3629
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 14576
Erfasste Datei-Elemente   : 0

Combofix fand noch etwas:

Code:

ATTFilter

ComboFix 09-09-18.02 - Administrator 19.09.2009 12:08.2.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.959.670 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cftest.exe
Benutzte Befehlsschalter :: / u
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\syos\Alcmtr.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-08-19 bis 2009-09-19  ))))))))))))))))))))))))))))))
.

2009-09-18 13:25 . 2009-09-18 13:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-09-18 13:25 . 2009-09-18 13:25	--------	d-----w-	c:\programme\DVDVideoSoft
2009-09-17 21:58 . 2009-09-17 21:58	411368	----a-w-	c:\syos\system32\deploytk.dll
2009-09-17 21:58 . 2009-09-17 21:58	--------	d-----w-	c:\programme\Java
2009-09-17 21:46 . 2009-09-17 21:47	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Temp
2009-09-17 21:46 . 2009-09-17 21:47	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google
2009-09-17 16:05 . 2009-09-17 16:09	--------	d-----w-	C:\cftest
2009-09-16 22:13 . 2009-09-16 22:13	--------	d-----w-	c:\syos\system32\KB905474
2009-09-16 22:13 . 2009-03-10 20:26	1436544	----a-w-	c:\syos\system32\KB905474\wganotifypackageinner.exe
2009-09-16 22:13 . 2009-03-10 20:18	455048	----a-w-	c:\syos\system32\KB905474\wgasetup.exe
2009-09-16 16:05 . 2009-09-16 16:05	--------	d-----w-	c:\syos\ServicePackFiles
2009-09-15 23:12 . 2009-09-15 23:20	--------	d-----w-	c:\syos\system32\CatRoot_bak
2009-09-15 23:11 . 2008-06-14 17:57	273024	------w-	c:\syos\system32\drivers\bthport.sys
2009-09-15 22:09 . 2009-09-15 22:09	--------	d-s---w-	c:\dokumente und einstellungen\Administrator\UserData
2009-09-15 18:07 . 2009-09-19 09:25	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Tracing
2009-09-15 18:06 . 2009-09-15 18:06	--------	d-----w-	c:\programme\Microsoft
2009-09-15 18:06 . 2009-09-15 18:06	--------	d-----w-	c:\programme\Windows Live SkyDrive
2009-09-15 18:06 . 2009-09-15 18:06	--------	d-----w-	c:\programme\Windows Live
2009-09-15 18:03 . 2009-09-15 18:03	--------	d-----w-	c:\programme\Gemeinsame Dateien\Windows Live
2009-09-14 18:27 . 2009-09-14 18:32	--------	d-----w-	c:\syos\BDOSCAN8
2009-09-14 13:30 . 2009-09-14 13:30	--------	d-----w-	c:\dokumente und einstellungen\Administrator\DoctorWeb
2009-09-13 16:48 . 2009-09-13 16:48	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2009-09-12 23:23 . 2009-09-18 13:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-10 21:39 . 2009-09-15 18:07	12568	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-10 18:16 . 2009-09-10 18:16	--------	d-----w-	c:\programme\CCleaner
2009-09-10 17:49 . 2009-09-10 17:50	--------	d-----w-	c:\programme\Unlocker
2009-09-10 17:44 . 2009-09-10 19:42	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-09-10 17:38 . 2009-09-10 17:38	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GHISLER
2009-09-10 16:45 . 2009-09-10 16:45	--------	d-----w-	C:\totalcmd
2009-09-10 16:45 . 2009-09-10 16:45	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GHISLER
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\UC.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\RAR.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\PKZIP.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\PKUNZIP.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\NOCLOSE.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\LHA.PIF
2009-09-10 16:45 . 2009-09-09 05:50	545	----a-w-	c:\syos\ARJ.PIF
2009-09-10 16:38 . 2009-09-10 16:38	--------	d-----w-	c:\programme\Trend Micro
2009-09-10 16:32 . 2009-09-10 16:32	0	----a-w-	c:\syos\nsreg.dat
2009-09-10 16:32 . 2009-09-10 16:32	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-09-10 15:45 . 2009-09-10 15:45	604140	--sha-w-	c:\syos\system32\drivers\ISwift3.dat
2009-09-10 15:38 . 2009-09-10 21:27	107547	----a-w-	c:\syos\system32\drivers\klin.dat
2009-09-10 15:38 . 2009-09-10 21:27	95259	----a-w-	c:\syos\system32\drivers\klick.dat
2009-09-10 15:37 . 2009-09-19 09:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-10 15:37 . 2009-09-10 15:37	--------	d-----w-	c:\programme\Kaspersky Lab
2009-09-10 15:37 . 2009-09-10 15:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-16 16:16 . 2001-08-18 11:00	48354	----a-w-	c:\syos\system32\perfc007.dat
2009-09-16 16:16 . 2001-08-18 11:00	316924	----a-w-	c:\syos\system32\perfh007.dat
2009-09-10 16:00 . 2009-05-24 13:30	128016	----a-w-	c:\syos\system32\drivers\kl1.sys
2009-09-09 21:48 . 2009-09-09 21:48	--------	d-----w-	c:\programme\Realtek
2009-09-09 21:48 . 2009-09-09 21:48	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-09-09 21:48 . 2009-09-09 21:48	--------	d-----w-	c:\programme\DIFX
2009-09-09 21:46 . 2009-09-09 21:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2009-09-09 21:35 . 2009-09-09 21:35	--------	d-----w-	c:\programme\Windows Media-Komponenten
2009-09-09 21:31 . 2009-09-09 21:31	--------	d-----w-	c:\programme\microsoft frontpage
2009-09-09 21:30 . 2009-09-09 21:30	--------	d-----w-	c:\programme\Online-Dienste
2009-09-09 21:29 . 2009-09-09 21:29	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2009-09-09 21:28 . 2009-09-09 21:28	21740	----a-w-	c:\syos\system32\emptyregdb.dat
2009-08-14 04:58 . 2009-09-10 17:44	7396	----a-w-	c:\syos\system32\drivers\pctcore.cat
2009-08-05 09:05 . 2004-08-03 21:57	206336	----a-w-	c:\syos\system32\mswebdvd.dll
2009-07-29 04:48 . 2004-08-03 21:57	119808	----a-w-	c:\syos\system32\t2embed.dll
2009-07-29 04:48 . 2001-08-18 11:00	82432	----a-w-	c:\syos\system32\fontsub.dll
2009-07-26 14:44 . 2009-07-26 14:44	48448	----a-w-	c:\syos\system32\sirenacm.dll
2009-07-17 18:56 . 2004-08-03 21:57	58880	----a-w-	c:\syos\system32\atl.dll
2009-07-13 08:08 . 2004-08-03 21:57	286720	----a-w-	c:\syos\system32\wmpdxm.dll
2009-06-26 16:17 . 2004-08-03 21:57	665088	------w-	c:\syos\system32\wininet.dll
2009-06-26 16:16 . 2004-08-03 21:57	81920	----a-w-	c:\syos\system32\ieencode.dll
2009-06-25 18:34 . 2004-08-03 21:57	95744	----a-w-	c:\syos\system32\mqsec.dll
2009-06-25 18:34 . 2004-08-03 21:57	661504	----a-w-	c:\syos\system32\mqqm.dll
2009-06-25 18:34 . 2004-08-03 21:57	533504	----a-w-	c:\syos\system32\mqutil.dll
2009-06-25 18:34 . 2004-08-03 21:57	517120	----a-w-	c:\syos\system32\mqsnap.dll
2009-06-25 18:34 . 2004-08-03 21:57	48640	----a-w-	c:\syos\system32\mqupgrd.dll
2009-06-25 18:34 . 2004-08-03 21:57	47104	----a-w-	c:\syos\system32\mqdscli.dll
2009-06-25 18:34 . 2004-08-03 21:57	225280	----a-w-	c:\syos\system32\mqoa.dll
2009-06-25 18:34 . 2004-08-03 21:57	186880	----a-w-	c:\syos\system32\mqtrig.dll
2009-06-25 18:34 . 2004-08-03 21:57	177152	----a-w-	c:\syos\system32\mqrt.dll
2009-06-25 18:34 . 2004-08-03 21:57	16896	----a-w-	c:\syos\system32\mqise.dll
2009-06-25 18:34 . 2004-08-03 21:57	138240	----a-w-	c:\syos\system32\mqad.dll
2009-06-25 18:34 . 2004-08-03 21:57	123392	----a-w-	c:\syos\system32\mqrtdep.dll
2009-06-22 11:49 . 2004-08-03 21:58	117248	----a-w-	c:\syos\system32\mqtgsvc.exe
2009-06-22 11:49 . 2004-08-03 21:58	19968	----a-w-	c:\syos\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-03 21:58	4608	----a-w-	c:\syos\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-03 19:58	91776	----a-w-	c:\syos\system32\drivers\mqac.sys
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-17_16.09.19   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-12 11:37 . 2009-09-17 21:55	84661              c:\syos\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-09-17 21:58 . 2009-09-17 21:58	149280              c:\syos\system32\javaws.exe
+ 2009-09-17 21:58 . 2009-09-17 21:58	145184              c:\syos\system32\javaw.exe
+ 2009-09-17 21:58 . 2009-09-17 21:58	145184              c:\syos\system32\java.exe
+ 2009-09-17 21:58 . 2009-09-17 21:58	1757696              c:\syos\Installer\2a5b55.msi
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"Google Update"="c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-09-17 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\syos\system32\NvCpl.dll" [2006-10-31 7634944]
"NvMediaCenter"="c:\syos\system32\NvMcTray.dll" [2006-10-31 86016]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-17 149280]
"nwiz"="nwiz.exe" - c:\syos\system32\nwiz.exe [2006-10-31 1622016]
"RTHDCPL"="RTHDCPL.EXE" - c:\syos\RTHDCPL.exe [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" - c:\syos\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\syos\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\syos\system32\tscupgrd.exe" [2004-08-03 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\syos\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\syos\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\syos\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
.
Inhalt des "geplante Tasks" Ordners

2009-09-17 c:\syos\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1326574676-725345543-500Core.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-09-17 21:46]

2009-09-19 c:\syos\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1326574676-725345543-500UA.job
- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-09-17 21:46]

2009-09-19 c:\syos\Tasks\WGASetup.job
- c:\syos\system32\KB905474\wgasetup.exe [2009-09-16 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
TCP: {F0AF7CB4-E62E-4A3C-9DCE-AEB1889C4456} = 62.109.123.197 213.191.74.19
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\nclyxb5a.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-19 12:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\SYOS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\SYOS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2009-09-19 12:10
ComboFix-quarantined-files.txt  2009-09-19 10:10
ComboFix2.txt  2009-09-17 16:09

Vor Suchlauf: 11 Verzeichnis(se), 77.075.652.608 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 77.052.547.072 Bytes frei

201	--- E O F ---	2009-09-16 22:13

kira · 20.09.2009, 18:25

hi

1.
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Externe Platte, Usb etc bitte witerhin anschließen

3.
Lass bitte mal den Kaspersky über das System laufen (vorher updaten)--> Funde in Quarantäne verschieben, poste die Report-Datei

Damiani · 22.09.2009, 13:19

So, es wurde nichts gefunden.
Hab alles so gemacht, wie es gesagt wurde und scheint alles ok zu sein, laut Scanner.

Bitte HiJackThis prüfen, möglicher Trojaner!

Log-Analyse und Auswertung: Bitte HiJackThis prüfen, möglicher Trojaner!