Rechner und Internet extrem langsam und Systempartition wird voll geschrieben

ich56 · 30.10.2009, 09:34

Hallo zusammen. Ich habe mich hier registriert da ich nicht mehr weiter weiß.
Dieses Forum hat mir in der Vergangenheit des öfteren geholfen meine Probleme mit diversen Plagegeistern zu lösen. Diesmal allerdings bin ich mit meinem Latein am Ende und die Lösungsansätze die auf mein Problem passen haben leider nicht geholfen.
Nun zu meinem Problem. Ich habe seit kurzem das Problem, das mein Rechner und mein Internet sehr langsam sind. Bisweilen ist ein laden von Internetseiten und Updates für Malwarebytes Antivir etc. nicht mehr möglich. Auch friert der Rechner z.B. beim Scannen sproradisch ein sodass nur ein Hardreset hilft. Mein größtes Problem ist im Moment, das meine Systempartition (C

keinen freien Speicherplatz mehr hat, obwohl knapp 4 GB frei sein müssten. Sobald ich Speicherplatz frei gebe, kann ich zuschauen wie der soeben frei gemachte Speicher innerhalb von ein paar Minuten wieder verschwindet und der verfügbare Speicher dann zwischen 2MB und 0Byte liegt. Habe verschiedene vorgelschlagene Lösungsansätze aus dem Forum versucht, leider ohne Erfolg.
Da ich die Systemwiederherstellung eh abgeschaltet habe ist dieser Ordner nur ein paar MB groß. Meine Auslagerungsdatei habe ich nicht auf der Systempartion und Dateien werden sofort gelöscht und nicht erst in den Papierkorb verschoben. Aber obwohl ich den Papierkorb deaktiviert habe zeigt mir Windows in den c:\recycled Eingenschaften 2 Dateien an. Wenn ich den recycled öffne ist der allerdings leer. Das HijackThis Log habe ich mal angehangen. Ich hoffe es kann mir wer von euch helfen.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:40, on 29.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
Q:\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
K:\XP Progs\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
P:\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\RealXP\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - L:\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RemoteControl] O:\PowerDVD7.3XP\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] O:\PowerDVD7.3XP\Language\Language.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "E:\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yodm3D] E:\yodm3d\Yodm3D.exe
O4 - HKCU\..\Run: [AVEDESK] "E:\avedesk13\AVEDESK.EXE"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ViOrb] C:\Programme\ViOrb\ViOrb.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O4 - Global Startup: SiICfg.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - L:\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239544605281
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {8FD07749-EFFA-48C6-947C-45A8D7BF422F} (UpdateAdvisor Control) - http://docs.cyberlink.com/multi/patch/prog/UpdateAdvisor.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFEEAB08-15C5-48F3-9C63-E960B0D20C52}: NameServer = 192.168.0.1
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: !SASWinLogon - E:\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - Q:\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - K:\XP Progs\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOKUME~1\ANWEND~1.PRI\LOKALE~1\Temp\AVSETUP_4ae7323e\basic\avupgsvc.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8516 bytes

Chris4You · 30.10.2009, 10:05

Hm,

das sieht nach Rootkit aus...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

ich56 · 30.10.2009, 11:10

Hui. Das ging schnell.

Anbei das GMER Log und das RSIT Log.

habs als txt Datei angehangen. Zum posten wars zu lang

Edit: Da ich grade auf Arbeit bin, kann ich PrevX erst heute Abend testen lassen.

Chris4You · 30.10.2009, 11:36

Hallo,

folgende Dateien online prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\windows\System32\Drivers\ahorzree.SYS
C:\windows\System32\Drivers\sple.sys

Die hier sehen, äh, interessanter aus:
C:\WINDOWS\system32\hhmrqyei.dll
C:\WINDOWS\system32\jlawyclp.dll
C:\WINDOWS\pmnmnl.dll
C:\WINDOWS\system32\drivers\ulnnwzxqdehpz.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Mal sehen was Prevx so von sich gibt...

Chris

ich56 · 30.10.2009, 20:53

So. Habe eben PrevX laufen lassen.
hier der Screenshot im Anhang.

Die Dateien konnte ich nicht prüfen lassen, da sie nicht vorhanden sind.

Chris4You · 31.10.2009, 13:20

Hi,

die Dateien die ich Dir angegeben habe sind größtenteils gestoppte Treiber (d.h. Reste der Infektion)...

Prüfe die von Prevx angegebenen Dateien ebenfalls bei Virustotal (kennst Du ja schon)...

Falls die Dateien erkannt wurden (nicht erkannt rausnehmen, kann auch false/positiv von Prevx sein!):

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\Windows\system32\scrnrdr.exe
C:\Windows\system32\viwc.exe
C:\Windows\cluninst.exe
e:\etka\prog\meprogup.exe
C:\WINDOWS\system32\hhmrqyei.dll
C:\WINDOWS\system32\jlawyclp.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Scanne mal mit Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

chris

ich56 · 31.10.2009, 15:38

Habe Avenger aus geführt.
Hier ist das Log.

Code:

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Oct 31 14:59:16 2009

14:59:12: Error: Invalid syntax in command:
"C:\WINDOWS\system32\hhmrqyei.dll"
Skipping line.  (Registry value replacement mode)  
14:59:16: Error: Execution aborted by user!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\hhmrqyei.dll" not found!
Deletion of file "C:\WINDOWS\system32\hhmrqyei.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\jlawyclp.dll" not found!
Deletion of file "C:\WINDOWS\system32\jlawyclp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished!  Terminate.

Den Kaspersky OnlineScanner konnte ich nich nicht nutzen, da der grade offline ist, wegen einer Überarbeitung laut der Kaspersky Website und die Test Version konnte ich nicht installieren, da ich ja zu wenig Speicher auf C habe

Die Dateien die PrevX gefunden hat waren False positives, habe sie desshalb nicht ins Avanger Script eingetragen.
Hier nochmal die Ergebnisse der von PrevX gefundenen Dateien.
E:\ETKA\prog\meprogup.exe:

Code:

ATTFilter

MD5:  	de6e518c4cfbd28899f2355e7470cb1c
First received: 	2008.03.21 00:13:52 UTC
Datum 	2009.10.31 13:41:43 UTC [<1D]
Ergebnisse 	0/41
Permalink: 	analisis/553f0c0207a7e29b07e07f5c40234627c706cd951eed7aca54209fe65700b239-1256996503

C:\Windows\cluninst.exe

Code:

ATTFilter

MD5:  	31a583464faf2d9d622f276fcaf2ce50
First received: 	2007.12.10 18:25:44 UTC
Datum 	2009.10.31 13:46:21 UTC [<1D]
Ergebnisse 	0/41
Permalink: 	analisis/92083cb7f160d37982e2c83ba3f97570f7a456e1edccbe5e72a61071fb81fe96-1256996781

C:\Windows\System32\scrnrdr -> gehört zum Vista Transformation Pack für Windows XP

Code:

ATTFilter

MD5:  	db365b93ec9816503298bde342c4f8ae
First received: 	2008.12.01 00:01:39 UTC
Datum 	2009.10.19 08:01:55 UTC [>12D]
Ergebnisse 	14/40
Permalink: 	analisis/af5a31c3bbfb71d48ba22d1a18819a624b239f79e61d326a41fd868aa57bc288-1255939315

C:\Windows\system32\viwc.exe -> gehört ebenfalls zum Vista Transformation Pack für Windows XP

Code:

ATTFilter

MD5:  	7eb0488ae9323e01afa13c9f46b4a012
First received: 	2008.11.18 20:12:02 UTC
Datum 	2009.10.31 12:54:19 UTC [<1D]
Ergebnisse 	20/41
Permalink: 	analisis/b2785dbbec87772652ec3ba98f4a882717e232375b2c90bfeabdfd0aa760f2e6-1256993659

Chris4You · 31.10.2009, 15:43

Hi,

mit sowas hatte ich gerechnet, wobei die zwei letzten Dateien von einigen Scannern erkannt wurden....

Avenger wurde nicht richtig ausgeführt, die Befehlszeilen (Files to delete:
müssen stehen bleiben...)

Brauchst Du das Vistapack unbedingt, schon schmeiss es mal runter...

Deinstalliere Prevx und gehe wie folgt vor:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

ich56 · 31.10.2009, 15:51

k. Werde das Vista Pack deinstallieren. Bei Avenger hatte ich Files to delete vergessen. Habe dann die Ausführung abgebrochen und Files to delete noch nachgetragen. Steht auch im Log, das Avenger ausgeführt wurde er die Dateien aber nicht löschen konnte, da sie nicht da sind. Werde dann Combofix ausführen.

hier das Combofix Log

Code:

ATTFilter

ComboFix 09-10-30.01 - Anwender 31.10.2009 16:07.2.2 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1380 [GMT 1:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\desktop.ini
c:\dokumente und einstellungen\Anwender.PRIVAT-BHK5UKPC\Anwendungsdaten\inst.exe
c:\programme\INSTALL.LOG
c:\windows\lnmnmp.ini
c:\windows\regedit.com
c:\windows\system32\ecwoitlb.ini
c:\windows\system32\taskmgr.com
c:\windows\system32\tmp1.tmp
c:\windows\system32\tmp74.tmp
c:\windows\system32\tmp75.tmp
c:\windows\system32\tmp78.tmp
c:\windows\system32\tmp79.tmp
c:\windows\system32\tmp80.tmp
c:\windows\system32\tmp81.tmp
c:\windows\system32\wbem\proquota.exe
P:\autorun.inf
S:\Autorun.inf
T:\install.exe

c:\windows\system32\proquota.exe fehlte 
Kopie von - c:\windows\ServicePackFiles\i386\proquota.exe wurde wiederhergestellt

.
(((((((((((((((((((((((   Dateien erstellt von 2009-09-28 bis 2009-10-31  ))))))))))))))))))))))))))))))
.

2009-10-31 15:17 . 2008-04-14 06:52	50688	----a-w-	c:\windows\system32\proquota.exe
2009-10-31 14:54 . 2009-10-31 14:54	--------	d-----w-	c:\windows\system32\VIRepair
2009-10-31 14:52 . 2009-10-31 14:52	3430299	----a-r-	C:\ComboFix.exe
2009-10-31 14:18 . 2009-10-31 14:19	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab Setup Files
2009-10-31 13:57 . 2009-10-31 13:57	731136	----a-w-	C:\avenger.exe
2009-10-29 21:06 . 2009-10-29 21:06	--------	d-----w-	C:\rsit
2009-10-29 20:10 . 2009-10-29 20:10	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\TYPHOON
2009-10-29 20:10 . 2009-10-29 20:10	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\AbiSuite
2009-10-29 20:10 . 2009-10-29 20:10	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\WINDOWS
2009-10-29 20:10 . 2009-10-29 20:10	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\UserData
2009-10-29 20:10 . 2009-10-29 20:10	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\ElsterFormular
2009-10-29 20:10 . 2009-10-29 20:10	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.thumbnails
2009-10-29 20:05 . 2009-10-29 20:05	23408	----a-w-	c:\dokumente und einstellungen\Anwender.PRIVAT-BHK5UKPC\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-28 19:52 . 2009-10-28 19:52	20480	----a-w-	c:\windows\system32\scrnrdr.exe
2009-10-28 17:08 . 2009-10-28 17:04	77312	----a-w-	C:\mbr.exe
2009-10-27 21:48 . 2009-10-27 21:48	--------	d---a-w-	c:\windows\VDLL.DLL
2009-10-27 21:48 . 2009-10-27 21:48	--------	d---a-w-	c:\windows\system32\runouce.exe
2009-10-27 21:45 . 2009-10-27 21:45	632064	----a-w-	c:\windows\system32\msvcr80.dll
2009-10-27 21:45 . 2009-10-27 21:45	554240	----a-w-	c:\windows\system32\msvcp80.dll
2009-10-27 21:45 . 2009-10-27 21:45	34048	----a-w-	c:\windows\system32\eEmpty.exe
2009-10-27 21:45 . 2008-04-14 06:53	226816	----a-w-	c:\windows\system32\T.COM
2009-10-27 21:45 . 2008-04-14 06:53	231424	----a-w-	c:\windows\R.COM
2009-10-27 21:45 . 2009-10-27 21:45	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2009-10-27 21:45 . 2009-10-27 21:45	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2009-10-26 23:45 . 2008-11-06 01:03	--------	d-----w-	C:\SDFix
2009-10-24 18:58 . 2009-10-24 18:58	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com
2009-10-24 18:58 . 2009-10-24 18:58	--------	d-----w-	c:\dokumente und einstellungen\Anwender.PRIVAT-BHK5UKPC\Anwendungsdaten\SUPERAntiSpyware.com
2009-10-24 13:32 . 2009-10-24 13:32	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien
2009-10-24 13:29 . 2009-10-24 13:29	--------	d-----w-	c:\dokumente und einstellungen\HelpAssistant\.gimp-2.4
2009-10-17 23:56 . 2009-10-17 23:56	--------	d-----w-	c:\dokumente und einstellungen\Anwender.PRIVAT-BHK5UKPC\Anwendungsdaten\Aegisub

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 02:38 . 2009-09-15 02:38	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2009-09-15 00:19 . 2009-09-15 00:19	--------	d-----w-	c:\dokumente und einstellungen\Anwender.PRIVAT-BHK5UKPC\Anwendungsdaten\GHISLER
2009-09-10 13:54 . 2008-10-09 21:38	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 13:53 . 2008-05-23 18:21	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\UC.PIF
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\RAR.PIF
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\PKZIP.PIF
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\PKUNZIP.PIF
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\NOCLOSE.PIF
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\LHA.PIF
2009-09-09 06:50 . 2009-09-15 00:19	545	----a-w-	c:\windows\ARJ.PIF
2008-03-15 17:51 . 2008-03-15 17:47	246	----a-w-	c:\programme\Gemeinsame Dateien\qubal622
2003-11-16 00:51 . 2003-07-28 09:39	11253	---h--w-	c:\programme\folder.htt
2008-03-29 15:39 . 2007-07-30 17:12	67696	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2008-03-29 15:39 . 2007-07-30 17:12	54376	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2008-03-29 15:39 . 2007-07-30 17:12	34952	----a-w-	c:\programme\mozilla firefox\components\myspell.dll
2008-03-29 15:39 . 2007-07-30 17:12	46720	----a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2008-03-29 15:39 . 2007-07-30 17:12	172144	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
2006-05-03 10:06 . 2007-03-31 21:49	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2007-03-31 21:49	31232	--sh--r-	c:\windows\system32\msfDX.dll
.

------- Sigcheck -------

[-] 2008-04-14 . F2383442183E81A449CCC5D160FFF05E . 1427456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
.
(((((((((((((((((((((((((((((((((((((((((((((   AWF   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-03-30 20:54 . 2000-05-11 00:00	90112	c:\windows\bak\UpdReg.EXE

2006-03-20 16:34 . 2006-03-20 16:34	213936	c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\bak\ISUSPM.exe

2003-07-28 10:18 . 2001-12-20 00:00	28672	c:\programme\Creative\Splash Screen\bak\CTEaxSpl.EXE
2008-08-08 16:58 . 2001-12-20 00:00	28672	c:\programme\Creative\Splash Screen\CTEaxSpl.exe

2006-11-12 11:48 . 2006-11-12 11:48	157592	c:\programme\DAEMON Tools\bak\daemon.exe

.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"Yodm3D"="e:\yodm3d\Yodm3D.exe" [2007-06-26 2058752]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"ViOrb"="c:\programme\ViOrb\ViOrb.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTStartup"="c:\programme\Creative\Splash Screen\CTEaxSpl.EXE" [2001-12-20 28672]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [N/A]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2008-12-03 75048]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"RemoteControl"="o:\powerdvd7.3xp\PDVDServ.exe" [2008-07-21 87336]
"LanguageShortcut"="o:\powerdvd7.3xp\Language\Language.exe" [2008-05-14 62760]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
" Malwarebytes Anti-Malware  (reboot)"="e:\malwarebytes' anti-malware\mbam.exe" [2009-09-10 1312080]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-12-11 20992]
"WINDVDPatch"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2006-08-11 17920]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\CTXFIHLP.EXE [2006-08-11 18944]
"CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2006-08-11 17920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-03 44544]
"SetDefaultMIDI"="MIDIDEF.EXE" - c:\windows\system32\MIDIDEF.EXE [2008-06-27 28672]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
SiICfg.lnk - c:\programme\Silicon Image\SiICfg\SiICfg.exe [2007-4-19 593972]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "o:\dvd region+css free\DVDShell.dll" [2004-10-09 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\superantispyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 14:21	548352	----a-w-	e:\superantispyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 14:13	49152	----a-w-	c:\progra~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"wuauserv"=2 (0x2)
"SQLBrowser"=2 (0x2)
"MSSQL$SQLEXPRESS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Kopie von utorrentversion1.6.exe"=
"c:\\mIRC614\\mirc.exe"=
"C:2\\SUPCOM FA\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"C:1\\Crysis\\Bin32\\Crysis.exe"=
"C:1\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:1\\SupremeCommander\\Supreme Commander\\bin\\SupremeCommander.exe"=
"C:1\\SupremeCommander\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:0\\utorrentXP.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"C:3\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:3\\Corel\\DVD9\\WinDVD.exe"=
"C:0\\XP Progs\\windvd8\\WinDVD.exe"=
"C:3\\Battlefield Vietnam\\BfVietnam.exe"=
"C:3\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:3\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:3\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:3\\GRID Demo\\GRID.exe"=
"C:3\\Codemasters\\GRID\\GRID.exe"=
"C:3\\Mass Effect\\Binaries\\MassEffect.exe"=
"C:3\\Mass Effect\\MassEffectLauncher.exe"=
"C:2\\SUPCOM FA\\Supreme Commander - Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"o:\\Codemasters\\GRID\\GRID.exe"=
"o:\\PowerDVD7.3XP\\PowerDVD.exe"=
"C:6\\Rockstar Games\\gta4\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"C:6\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"o:\\Sierra Entertainment\\WORLD IN CONFLICTXP\\wic.exe"=
"o:\\Sierra Entertainment\\WORLD IN CONFLICTXP\\wic_online.exe"=
"o:\\Sierra Entertainment\\WORLD IN CONFLICTXP\\wic_ds.exe"=
"C:1\\ICQLite\\ICQLite.exe"=
"C:6\\Codemasters\\FUEL\\FUEL.exe"=
"C:6\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"C:6\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [25.06.2008 20:55 3026]
R1 SASDIFSV;SASDIFSV;e:\superantispyware\sasdifsv.sys [12.10.2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;e:\superantispyware\SASKUTIL.SYS [12.10.2009 21:24 74480]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\dokume~1\ANWEND~1.PRI\LOKALE~1\Temp\AVSETUP_4ae7323e\basic\avupgsvc.exe" /TEMPSTART:""c:\dokume~1\ANWEND~1.PRI\LOKALE~1\Temp\AVSETUP_4ae7323e\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\dokume~1\ANWEND~1.PRI\LOKALE~1\Temp\AVSETUP_4ae7323e\basic\avupgsvc.exe [?]
S2 BT848;TerraTV WDM Video Capture;c:\windows\system32\drivers\BT848.SYS --> c:\windows\system32\drivers\BT848.SYS [?]
S2 BTTUNER;TerraTV Tuner;c:\windows\system32\drivers\BTTUNER.SYS --> c:\windows\system32\drivers\BTTUNER.SYS [?]
S2 BTXBAR;TerraTV WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS --> c:\windows\system32\drivers\BTXBAR.SYS [?]
S2 qwskyrsccjjgua;qwskyrsccjjgua;\??\c:\windows\system32\drivers\ulnnwzxqdehpz.sys --> c:\windows\system32\drivers\ulnnwzxqdehpz.sys [?]
S3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [27.06.2008 19:21 99352]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [27.06.2008 19:21 99352]
S3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [27.06.2008 19:21 555032]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [27.06.2008 19:21 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [27.06.2008 19:21 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [27.06.2008 19:21 100888]
S3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [27.06.2008 19:21 566296]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [27.06.2008 19:21 566296]
S3 SASENUM;SASENUM;e:\superantispyware\SASENUM.SYS [12.10.2009 21:24 7408]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CLASSPNP_2
*NewlyCreated* - MBR
*Deregistered* - CLASSPNP_2
*Deregistered* - mbr
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm
TCP: {AFEEAB08-15C5-48F3-9C63-E960B0D20C52} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8FD07749-EFFA-48C6-947C-45A8D7BF422F} - hxxp://docs.cyberlink.com/multi/patch/prog/UpdateAdvisor.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anwender.PRIVAT-BHK5UKPC\Anwendungsdaten\Mozilla\Firefox\Profiles\2eo94dfo.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\programme\RealXP\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\programme\RealXP\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\programme\RealXP\RealPlayer\Netscape6\nprpjplug.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-AntiVir PersonalEdition Classic - k:\xp progs\AntiVir PersonalEdition Classic\SETUP.EXE
AddRemove-ICQLite - l:\icqlite\ICQLiteUninstall.EXE
AddRemove-Nero - Burning Rom!UninstallKey - l:\nero 7\\nero\uninstall\UNNERO.exe
AddRemove-XPv3.8.221 - c:\windows\Radeon Omega Drivers v3.8.221
AddRemove-Vista Transformation Pack - c:\windows\system32\viwc.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - l:\divxxp\DivXCodecUninstall.exe
AddRemove-{8ADFC4160D694100B5B8A22DE9DCABD9} - l:\divxxp\DivXPlayerUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-31 16:17
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTStartup = c:\programme\Creative\Splash Screen\CTEaxSpl.EXE /run???????h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????>??????\??? ??? ???\???\???????????5?7~e?7~\???\?????????`??????C@?\???\??????s????\??????s\????>??A??s?>???C@?x???`|?w\?????@ 
  CTxfiHlp = CTXFIHLP.EXE? 
  CTHelper = CTHELPER.EXE? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(772)
e:\superantispyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\progra~1\GEMEIN~1\Stardock\mcpstub.dll
c:\windows\system32\cscui.dll
.
Zeit der Fertigstellung: 2009-10-31 16:38
ComboFix-quarantined-files.txt  2009-10-31 15:38
ComboFix2.txt  2008-04-13 00:54

Vor Suchlauf: 63.733.760 Bytes frei
Nach Suchlauf: 36.896.768 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /noexecute=optin /usepmtimer /usepmtimer
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Professional" /FASTDETECT

Current=1 Default=1 Failed=0 LastKnownGood=7 Sets=1,2,3,4,5,6,7
- - End Of File - - 291DFD1E48810A889B50182C939494A8

Chris4You · 31.10.2009, 19:01

Hi,

da gefällt mir noch einiges nicht:
c:\windows\system32\runouce.exe
-> http://www.prevx.com/filenames/X3087383384935609688-X1/RUNOUCE.EXE.html (The EUROPEAN UNION on Oct 30 2009!)
c:\windows\VDLL.DLL
-> http://www.threatexpert.com/files/vDll.dll.html

Weiterhin wurde Dein Explorer verändert (siehe den SIG-Check von ComboFix)....
Das deutet darauf hin, dass er "gepached" wurde, das kann von Deinem Vistapack herrühren,
oder aber von den netten kleinen Viechern...

Bitte umgehend die drei Files bei virustotal prüfen lassen (inkl. explorer.exe)!

chris

ich56 · 31.10.2009, 19:26

Habe eben die explorer.exe scannen lassen.
Virustotal meldet bei keinem Scanner eine Infektion.
hier mal der Link zu dem Ergebnis:
h**p://***.virustotal.com/de/analisis/8e36b956f541f5a6a30e69911530c94d23dad803a0d8aa11278a5e9ab2bd58f2-1257013106

Runouce.exe und VDLL.DLL sind keine Dateien, sondern werden als Ordner angezeigt und ich kann sie somit nicht zum testen hochladen.

Chris4You · 31.10.2009, 19:31

Hi,

stimmt habe ich übersehen (Notebookscreen, wir scrollen hin- und her). Da hat schon einer "immunisiert"...

Was macht der Rechner (Performance/HDD)?

chris
Ps.: Der Link ist schon "abgelaufen"...
Weisst Du was die Festplatte vollstopft? Sonst EasyCleaner (http://www.chip.de/downloads/EasyCle..._13000332.html) ausprobieren, dort gibt es eine Funktion um sich Ordner und Datei nach Grösse sortiert anzeigen lassen, ein Verzeichnis/Datei muss ja ständig wachsen...
Weiterhin hat CF die Datei für die Quotenverwaltung (proquota.exe) wiederhergestellt... Da gibt es einige nette Teile die die originaldatei löschen uns sich dahin setzten (dafür spricht auch der Ordner wo sie gefunden wurde)...

ich56 · 31.10.2009, 19:58

Rechner scheint wieder stabil zu laufen, auch das Internet ist wieder in normalem Tempo sowie der Rechner. Das Problem ist das der Speicherplatz auf C: jetzt zwar konstant bleibt und nicht mehr fällt

, allerdings sind nur 312MB frei,, dabei müsste der Speicherplatz eigentlich im GB Bereich liegen. :/

Das mit dem Bericht von Virus Total is unschön. gibt es eine möglichkeit den Bericht zu speichern?

Chris4You · 31.10.2009, 20:21

Hi,

probiere mal wie oben empfohlen den EasyCleaner aus (Bereinigen und große Dateien/Verz. suchen), lass die Festplatte mit chkdsk prüfen. Eventuell sind jetzt auch bei dem Benutzerkonto Quoten für die Festplatte eingerichtet, prüfen!
Kennst Du Dich mit Regedit aus?
Prüfe mal den Eintrag hier:

Code:

ATTFilter

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
EnableProfileQuota

Wenn der = 0x00000001 ist, dann läuft sie, probehalber auf 0x00 setzen... (Für die Mutigen unter uns ;o)..

chris

ich56 · 01.11.2009, 15:58

So. Habe jetzt wieder den Speicher frei, der Ursprünglich frei war

Es ist ein zusätzliches Benutzerkonto angelegt worden, welches mit Daten voll geschrieben wurde. Habe das dann gelöscht. Ebenfalls wurde auf C: eine Pagefile.sys angelegt was insofern falsch ist, als das ich meine Auslagerungsdatei nicht auf der Systempartion habe, sondern auf einer anderen Festplatte. Somit habe ich dieses Pagefile auch gelöscht. Chkdsk hat bei dem dem zusätzlich angelegten Konto auch massive Probleme gefunden. Das ist jetzt aber nicht wirklich von Bedeutung da ich das Konto ja gelöscht habe.

Bei dem RegKey den du gepostet hast ist der Schlüssel "EnableProfileQuota"
nicht vorhanden.

Nochmal vielen Dank für deine Hilfe.

Man gut das es dieses Forum hier gibt.

Rechner und Internet extrem langsam und Systempartition wird voll geschrieben

Log-Analyse und Auswertung: Rechner und Internet extrem langsam und Systempartition wird voll geschrieben