Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\kcmdnins.exe
         

Danach bitte ein Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,
der Scan von VirusTotal mit 4 Anzeigen.
ich warte Deine Anweisung ab, an das ComboFix trau ich mich noch nicht.
Gruß
mhu

Das ist aber extrem unleserlich!
Was hast Du da gemacht? Ausgedruckt und wieder eingescannt?
Es hätte gelangt, den Text einfach per Copy & Paste hier reinzu kopieren. Oder den Link von Virustotal zu posten.

Lad die gleiche Datei bitte bei File-Upload.net und poste den Downloadlink hier.

Hallo, hier ist Downloadlink der Windows-Datei

http://www.file-upload.net/download-1944815/KCMDNIns.exe.html

Gruß mhu

Danke, Datei ist da und wird zur weiteren Analyse an mehrere AV-Labs geschickt.
Du hast nun die Freigabe für Combofix, bitte gemäß der Anleitung ausführen und das Log posten.

ComboFix 09-10-13.03 - xxx 14.10.2009 16:36.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.298 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated) {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx\Eigene Dateien\UnInst.inf
c:\dokumente und einstellungen\xxx\Eigene Dateien\ZbThumbnail.info
c:\dokumente und einstellungen\xxx\Favoriten\Verbraucherzentrale Rheinland-Pfalz
c:\dokumente und einstellungen\xxx\Favoriten\Verbraucherzentrale Rheinland-Pfalz
c:\windows\Installer\2399b84.msp
c:\windows\Installer\28b5f67.msp
c:\windows\system32\93.exe
c:\windows\system32\SYSInfo.ocx

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-14 bis 2009-10-14 ))))))))))))))))))))))))))))))
.

2009-10-14 14:12 . 2009-10-14 14:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-10-14 11:04 . 2009-10-14 11:04 -------- d-----w- c:\windows\LastGood.Tmp
2009-10-13 15:32 . 2009-10-13 15:32 -------- d-----w- c:\programme\VirusTotalUploader
2009-10-11 12:07 . 2009-10-11 12:14 -------- d-----w- C:\Lop SD
2009-10-06 11:33 . 2009-10-06 11:40 -------- d-----w- C:\rsit
2009-10-06 08:06 . 2009-10-06 08:06 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-10-06 08:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-06 08:06 . 2009-10-09 11:33 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-06 08:06 . 2009-10-06 08:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-06 08:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-05 16:01 . 2009-10-05 16:01 -------- d-----w- c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-14 14:51 . 2008-07-16 13:29 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-10-14 14:34 . 2007-03-24 09:45 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2009-10-14 14:12 . 2007-04-06 15:56 -------- d-----w- c:\programme\Yahoo!
2009-10-14 14:01 . 2008-03-09 16:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2009-10-14 06:55 . 2008-07-16 13:29 -------- d-----w- c:\programme\Spyware Doctor
2009-10-13 14:25 . 2007-03-23 06:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-10-12 07:47 . 2009-05-04 11:36 -------- d-----w- c:\programme\StarMoney 7.0 S-Edition
2009-10-05 07:28 . 2005-10-11 09:15 2204 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\wklnhst.dat
2009-09-01 06:41 . 2009-09-01 06:41 -------- d-----w- c:\programme\Avira
2009-09-01 06:41 . 2009-09-01 06:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-09-01 05:54 . 2009-03-19 07:13 206256 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-09-01 05:54 . 2009-09-01 05:54 7396 ----a-w- c:\windows\system32\drivers\pctcore.cat
2009-08-29 09:31 . 2009-08-29 09:31 -------- d-----w- c:\programme\Bauskript
2009-08-25 06:44 . 2009-08-25 06:44 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Yahoo!
2009-08-25 06:12 . 2005-06-28 14:38 -------- d-----w- c:\programme\Java
2009-08-19 16:07 . 2009-08-19 16:07 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Yahoo!
2009-08-09 08:44 . 2005-07-21 13:42 108872 ----a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-08 16:39 . 1979-12-31 22:00 539884 ----a-w- c:\windows\system32\perfh007.dat
2009-08-08 16:39 . 1979-12-31 22:00 118750 ----a-w- c:\windows\system32\perfc007.dat
2009-08-06 17:24 . 2005-05-26 04:09 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2005-05-26 04:09 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2005-05-26 04:09 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2005-05-26 02:16 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2005-05-26 04:09 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 1979-12-31 22:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2005-05-26 04:09 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2005-05-26 04:09 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 08:59 . 1979-12-31 22:00 206336 ------w- c:\windows\system32\mswebdvd.dll
2009-07-28 14:33 . 2009-09-01 06:42 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-25 03:23 . 2008-12-26 13:49 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-21 14:23 . 2005-11-09 11:43 16 ------w- c:\dokumente und einstellungen\xxx\p63v63.dll
2009-07-17 19:01 . 1979-12-31 22:00 58880 ----a-w- c:\windows\system32\atl.dll
1999-06-10 09:34 . 2006-01-03 14:57 570128 ----a-w- c:\programme\Gemeinsame Dateien\DAO350.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-04 68856]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2009-05-25 25477928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"MPS"="c:\acer\PSM.EXE" [2004-03-04 372736]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-01-07 98304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
"RoxioDragToDisc"="c:\programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe" [2005-10-04 1687552]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe" [2005-10-04 163840]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-08-22 81920]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2006-09-26 270336]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2009-08-24 1181064]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SoundMan.exe [2005-04-06 90112]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2005-04-06 2805248]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-04-01 1495040]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
11g Wireless LAN Utility.lnk - c:\programme\LevelOne\11g Wireless LAN\WLanUtility.exe [2008-6-24 712704]
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\FTPSERV.exe"=
"c:\\pc-form\\PC-BAU39\\PC-Formular-BAU_3.9.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition\\app\\StarMoney.exe"=
"c:\\pc-form\\PC-BAU43\\PC-Formular-BAU_4.3.exe"=
"c:\\Programme\\Roxio\\WinOnCD 8\\Digital Home\\RoxUpnpServer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [01.01.1980 76544]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [19.03.2009 09:13 206256]
R1 ATMhelpr;ATMhelpr;c:\windows\system32\drivers\ATMHELPR.SYS [28.06.2005 19:12 4064]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [01.01.1980 11586]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];c:\windows\system32\drivers\sleen16.sys [11.10.2007 12:24 79104]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.09.2009 08:42 108289]
R2 hcw88ts;Hauppauge WinTV 88x TS Capture;c:\windows\system32\drivers\hcw88ts.sys [01.01.1980 14528]
R2 LiveUpdateInstaller;LiveUpdateInstaller;c:\programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe [08.07.2005 09:25 659456]
R2 MSSQL$PERSONAL;SQL Server (PERSONAL);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [10.02.2007 15:29 29178224]
R2 Registry;Sage Registrierungsdienst;c:\programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE [08.07.2005 09:23 86016]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [16.07.2008 15:29 348752]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [01.01.1980 130112]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [01.01.1980 137793]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [01.01.1980 605556]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [01.01.1980 27524]
R3 RTLWUSB;11g Wireless USB Adapter;c:\windows\system32\drivers\RTL8187.sys [24.06.2008 15:53 178048]
S2 DFSVC;Dialerschutz Dienst;c:\programme\T-Online\Dialerschutz-Software\DFInject.exe [12.07.2005 14:00 135168]
S2 gupdate1c989eddb456082;Google Update Service (gupdate1c989eddb456082);c:\programme\Google\Update\GoogleUpdate.exe [08.02.2009 15:05 133104]
S2 MSSQL$MPSC_DB;MSSQL$MPSC_DB;c:\programme\Microsoft SQL Server\MSSQL$MPSC_DB\Binn\sqlservr.exe -sMPSC_DB --> c:\programme\Microsoft SQL Server\MSSQL$MPSC_DB\Binn\sqlservr.exe -sMPSC_DB [?]
S2 SageDeploymentService;Sage Verteilungsdienst;c:\programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe [26.05.2008 18:04 412304]
S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [22.09.2009 07:55 528904]
S3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [26.05.2005 06:17 969728]
S3 DFSYS;T-Systems Nova Defender Service;c:\programme\T-Online\Dialerschutz-Software\DFSYS.sys [12.07.2005 14:00 8890]
S3 FUS2BASE;FRITZ!Card USB;c:\windows\system32\drivers\fus2base.sys [11.09.2002 02:00 498320]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [04.09.2006 12:15 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~3\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [06.03.2007 13:52 17536]
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys --> c:\windows\System32\Drivers\SjyPkt.sys [?]
S3 SQLAgent$MPSC_DB;SQLAgent$MPSC_DB;c:\programme\Microsoft SQL Server\MSSQL$MPSC_DB\Binn\sqlagent.EXE -i MPSC_DB --> c:\programme\Microsoft SQL Server\MSSQL$MPSC_DB\Binn\sqlagent.EXE -i MPSC_DB [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-14 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-03-23 13:17]

2009-10-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-08 13:04]

2009-10-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-08 13:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.focus.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: {0DCECC10-57F0-4A8F-8060-7C440DD06341} = 192.168.2.1
TCP: {3F152AD4-63C0-405F-B474-0157BAF2B647} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\5s9l6xb2.default\
FF - component: c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\5s9l6xb2.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
FF - component: c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\5s9l6xb2.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{32FD758D-8BB4-4c98-BDC4-800F31D9AEBA} - (no file)
AddRemove-InstallShield_{BB45C567-DAD6-4052-88BE-240CEA879D06} - c:\programme\InstallShield Installation Information\{BB45C567-DAD6-4052-88BE-240CEA879D06}\setup.exe
AddRemove-InstallShield_{EA9B6655-8230-4635-B145-E2B2859600BC} - c:\programme\InstallShield Installation Information\{EA9B6655-8230-4635-B145-E2B2859600BC}\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-14 16:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040C10900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1068)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4592)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\BRSS01A.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
c:\programme\Spyware Doctor\pctsSvc.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\dwwin.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Skype\Phone\Skype.exe
c:\programme\acer\eRecovery\Monitor.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\msiexec.exe
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-14 17:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-14 15:02

Vor Suchlauf: 44 Verzeichnis(se), 39.146.225.664 Bytes frei
Nach Suchlauf: 46 Verzeichnis(se), 39.169.363.968 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

246 --- E O F --- 2009-09-09 16:15

Sag mal, ist das rein zufällig ein Bürorechner? Die Frage hatte ich schonmal gestellt.
Falls ja, sind eigentlich Deine Kollegen aus der EDV dafür zuständig.

Hallo Arne, den PC nutze ich für meine Privaten- und Bürotätigkeiten - auf Kollegen kann ich leider nicht zurückgreifen. Das Forum ist doch nicht nur für Nutzer von Spiel- und Chat-PC gedacht.
Gruß mhu

Wieso? Steht der bei Dir zu Hause, oder haben die Kollegen nie Zeit?

Hallo Arne, der PC steht bei mir zuhause - wo ist das Problem?

Weil Bürorechner nicht über ein (kostenloses) Board bereinigt werden sollten. Abgesehen davon, könntest Du Dir Ärger einhandeln, wenn Du auf eigene Faust hier und da was an der Konfiguration schraubst (ok, in einer vernüngtig eingerichteten Firmenumgebung hat keiner Adminrechte)

Werte nochmal diese Datei:

c:\windows\system32\drivers\m5287.sys

bitte bei Virustotal aus. Es reicht wenn Du den Ergebnislink der Auswertung postest oder hier die Ergebnisse via Copy & Paste hier reinkopierst.

Hallo Arne,
in der Datei c:\windows\system32\drivers\m5287.sys sind keine Funde enthalten.


Was sagen die Funde in der Datei c:\windows\ystem32\KCMDNIns.exe aus.


Datei KCMDNIns.exe empfangen 2009.10.18 14:21:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/41 (7.32%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.18 -
AhnLab-V3 5.0.0.2 2009.10.17 -
AntiVir 7.9.1.35 2009.10.16 -
Antiy-AVL 2.0.3.7 2009.10.16 -
Authentium 5.1.2.4 2009.10.17 -
Avast 4.8.1351.0 2009.10.17 -
AVG 8.5.0.420 2009.10.18 -
BitDefender 7.2 2009.10.18 -
CAT-QuickHeal 10.00 2009.10.18 -
ClamAV 0.94.1 2009.10.17 -
Comodo 2645 2009.10.18 -
DrWeb 5.0.0.12182 2009.10.18 -
eSafe 7.0.17.0 2009.10.15 -
eTrust-Vet None 2009.10.16 -
F-Prot 4.5.1.85 2009.10.17 -
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.16 -
GData 19 2009.10.18 -
Ikarus T3.1.1.72.0 2009.10.18 -
Jiangmin 11.0.800 2009.10.18 -
K7AntiVirus 7.10.872 2009.10.16 -
Kaspersky 7.0.0.125 2009.10.18 -
McAfee 5775 2009.10.18 -
McAfee+Artemis 5775 2009.10.18 -
McAfee-GW-Edition 6.8.5 2009.10.18 Heuristic.BehavesLike.Win32.Suspicious.L
Microsoft 1.5101 2009.10.18 -
NOD32 4519 2009.10.18 -
Norman 6.03.02 2009.10.17 -
nProtect 2009.1.8.0 2009.10.18 Trojan/W32.Inject.24576.D
Panda 10.0.2.2 2009.10.18 -
PCTools 4.4.2.0 2009.10.18 -
Prevx 3.0 2009.10.18 -
Rising 21.51.62.00 2009.10.18 -
Sophos 4.46.0 2009.10.18 -
Sunbelt 3.2.1858.2 2009.10.17 -
Symantec 1.4.4.12 2009.10.18 -
TheHacker 6.5.0.2.045 2009.10.17 -
TrendMicro 8.950.0.1094 2009.10.18 -
VBA32 3.12.10.11 2009.10.16 -
ViRobot 2009.10.17.1990 2009.10.17 Spyware.Inject.24576
VirusBuster 4.6.5.0 2009.10.18 -
weitere Informationen
File size: 24576 bytes
MD5...: 4a51d7a6efa86cceb60d72680c57952b
SHA1..: 79ddd8fabfb2d6fc3a85c0bb509eb8f4328e4d8d
SHA256: 83525a318a0e40edcf977c58a146fe4e8b239bb798187767a3b20ff57f922e35
ssdeep: 192:3pqL0sif/dfYShkB6JANfyrQXTvuPJsUmZBdZD1Hep+KwgECer4lL1LyyAdP
2GTG:8GVBxadUmlHqwcyy6vTh6o9k

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1090
timedatestamp.....: 0x3f30e746 (Wed Aug 06 11:32:22 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x290e 0x3000 5.96 38ad4731e1dc1be1880ac1801e10f878
.rdata 0x4000 0x7ae 0x1000 3.13 cc6ad441d525407bfb38ddafe83724f1
.data 0x5000 0x9dc 0x1000 0.99 fd04be9e0bea52f18468ce482167a141

( 2 imports )
> KERNEL32.dll: GetFileType, OpenProcess, HeapDestroy, HeapCreate, GetStringTypeA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, TerminateProcess, LCMapStringW, GetStringTypeW, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA
> USER32.dll: GetWindowThreadProcessId, FindWindowA

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4a51d7a6efa86cceb60d72680c57952b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=4a51d7a6efa86cceb60d72680c57952b</a>
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

File::
c:\windows\system32\kcmdnins.exe
c:\windows\system32\FM20ENU.DLL
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!