Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.12.2009, 21:29   #61
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



ccleaner erfolgreich laufen lassen,
combofix ging leider nicht- notepad-meldung nach dem ausführen der cofi.exe:

Code:
ATTFilter
ComboFix is Offline. 
Please visit http://download.bleepingcomputer.com/sUBs/ComboFix.html
         

Alt 15.12.2009, 22:41   #62
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Fixen mit OTL
  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:45203195861BE07A
[purity]
[emptytemp]
[start explorer]
[Reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Run Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread
__________________

__________________

Alt 15.12.2009, 23:59   #63
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A





Code:
ATTFilter
All processes killed
========== OTL ==========
Unable to delete ADS C:\WINDOWS:45203195861BE07A .
File rity] not found.
File ptytemp] not found.
File art explorer] not found.
File boot] not found.
 
OTL by OldTimer - Version 3.1.17.0 log created on 12152009_234614

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

kann es damit zu tun haben, dass bei 2 meiner festplatten (beim reboot) windows grundsätzlich nicht hochfährt, bevor ich sie ausgeschaltet habe, und reset gedrückt habe?
__________________

Alt 16.12.2009, 09:02   #64
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Ich tippe jetzt erstmal darauf, dass der ADS zu einer Software gehört. Ich werde mich mal umhören ob jemand was dazu sagen kann.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 16.12.2009, 12:36   #65
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



ok, danke.


Alt 16.12.2009, 15:21   #66
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Fixen mit OTL
  • Starte bitte die OTL.exe.
    Vista-User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:Files
@C:\WINDOWS:45203195861BE07A
:Commands
[emptytemp]
[start explorer]
[Reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Run Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument.
    Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread
__________________
--> Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A

Alt 16.12.2009, 19:57   #67
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Code:
ATTFilter
All processes killed
========== FILES ==========
Unable to delete ADS C:\WINDOWS:45203195861BE07A .
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: xxx Admin
->Temp folder emptied: 927406064 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 13689353 bytes
->FireFox cache emptied: 57061795 bytes
->Google Chrome cache emptied: 0 bytes
 
User: xxx Online
->Temp folder emptied: 212640 bytes
->Temporary Internet Files folder emptied: 37526 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 111755266 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 746 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 573013 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138654 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 3955784 bytes
 
Total Files Cleaned = 1064,24 mb
 
 
OTL by OldTimer - Version 3.1.17.0 log created on 12162009_190312

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

ganz schön hartnäckig, das ding..

Alt 16.12.2009, 22:24   #68
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Lade dir ComboFix hier herunter auf deinen Desktop.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte kittyfix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates nicht durch , installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 17.12.2009, 01:24   #69
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Code:
ATTFilter
ComboFix 09-12-16.01 - xxx Online 17.12.2009   0:45.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.335 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe
AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\90d_enu.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-16 bis 2009-12-16  ))))))))))))))))))))))))))))))
.

2009-12-15 22:17 . 2009-12-15 22:17	--------	d-----w-	C:\_OTL
2009-12-14 03:53 . 2009-12-14 03:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-12-14 01:23 . 2009-12-14 01:23	--------	d-----w-	C:\found.001
2009-12-13 21:20 . 2009-12-14 05:41	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\DoctorWeb
2009-12-11 19:31 . 2009-12-11 19:31	--------	d-----w-	C:\found.000
2009-12-09 19:09 . 2009-12-13 20:23	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\DoctorWeb A
2009-12-08 19:28 . 2009-12-16 19:21	117760	----a-w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-08 19:26 . 2009-12-08 19:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-08 18:23 . 2009-12-08 18:24	--------	d-----w-	c:\programme\Sophos
2009-12-08 17:37 . 2009-12-08 17:39	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-12-08 00:59 . 2009-12-08 00:59	--------	d-----w-	c:\programme\ALCATech
2009-12-07 23:20 . 2001-05-28 14:30	8864	----a-w-	c:\windows\system32\drivers\MARXDEV3.SYS
2009-12-07 23:19 . 2001-11-05 10:56	32960	----a-w-	c:\windows\system32\drivers\mmrtkrnl.sys
2009-12-07 11:19 . 2009-12-07 11:22	4844296	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-04 21:08 . 2001-08-18 03:22	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2009-12-04 21:08 . 2001-08-18 03:22	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2009-12-04 21:07 . 2008-04-13 23:15	10368	-c--a-w-	c:\windows\system32\dllcache\hidusb.sys
2009-12-04 21:07 . 2008-04-13 23:15	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys
2009-11-29 02:43 . 2009-11-29 02:43	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Malwarebytes
2009-11-26 00:06 . 2009-11-26 00:06	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Foxit
2009-11-24 01:44 . 2009-11-24 01:44	--------	d-----w-	c:\programme\Microsoft Silverlight
2009-11-24 01:42 . 2009-11-24 01:42	--------	d-----w-	c:\programme\Microsoft
2009-11-22 23:35 . 2009-11-22 23:35	79488	----a-w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-22 19:56 . 2009-11-23 14:39	79488	----a-w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-22 19:40 . 2009-11-22 19:40	--------	d-----w-	c:\programme\SIW
2009-11-20 22:28 . 2009-11-20 22:28	177024	----a-w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe
2009-11-20 01:24 . 2009-11-20 01:24	--------	d-----w-	c:\programme\SiSoftware
2009-11-20 00:59 . 2009-11-20 00:59	--------	d-----w-	c:\programme\HD Tune
2009-11-20 00:57 . 2009-03-27 15:36	286208	----a-w-	c:\programme\gmer.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-17 00:02 . 2009-02-13 10:00	424736	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-12-16 23:58 . 2009-02-13 10:00	2852896	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2009-12-16 23:58 . 2009-02-13 10:00	32	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-12-16 23:52 . 2009-02-13 10:00	283076	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2009-12-16 19:18 . 2009-07-14 17:00	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-12-16 18:39 . 2009-02-13 10:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-12-14 06:06 . 2009-11-10 18:16	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\vlc
2009-12-09 02:11 . 2009-03-18 03:26	--------	d-----w-	c:\programme\Unlocker
2009-12-09 01:52 . 2009-02-01 18:15	--------	d-----w-	c:\programme\Free WMA to MP3 Converter
2009-12-09 00:24 . 2009-03-18 03:26	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker
2009-12-08 19:27 . 2009-07-15 07:34	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-08 17:21 . 2009-07-12 21:24	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-12-07 19:45 . 2009-11-08 20:58	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-03 15:14 . 2009-11-08 20:58	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-11-08 20:58	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-23 19:32 . 2009-08-15 08:28	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Nero
2009-11-22 19:20 . 2009-02-17 18:01	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Orbit
2009-11-22 19:12 . 2009-02-17 17:59	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Orbit
2009-11-21 20:17 . 2008-12-05 01:24	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\dvdcss
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp
2009-11-18 01:19 . 2009-07-13 19:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-11-18 01:09 . 2009-07-13 20:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-17 20:30 . 2009-11-12 04:24	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\vlc
2009-11-12 18:01 . 2009-11-12 18:01	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\.clamwin
2009-11-12 17:11 . 2009-11-12 17:11	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\.clamwin
2009-11-12 17:10 . 2009-11-12 17:10	--------	d-----w-	c:\programme\ClamWin
2009-11-11 18:11 . 2009-07-13 20:06	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-11-10 14:36 . 2009-11-10 14:28	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Winamp
2009-11-10 14:30 . 2009-11-10 14:28	--------	d-----w-	c:\programme\Winamp
2009-11-10 14:06 . 2009-11-10 14:06	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Winamp
2009-11-08 20:58 . 2009-11-08 20:58	--------	d-----w-	c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Malwarebytes
2009-11-08 20:58 . 2009-11-08 20:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-04 07:35 . 2009-07-14 17:03	117760	----a-w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-11-02 15:02 . 2009-11-02 15:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-10-31 15:01 . 2009-10-31 15:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-10-28 09:44 . 2001-08-23 11:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-10-28 09:44 . 2001-08-23 11:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-10-25 15:20 . 2009-10-25 15:20	--------	d-----w-	c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\dvdcss
2009-10-19 11:09 . 2009-02-13 10:01	95259	----a-w-	c:\windows\system32\drivers\klick.dat
2009-10-19 11:09 . 2009-02-13 10:01	108059	----a-w-	c:\windows\system32\drivers\klin.dat
2009-05-12 14:35 . 2009-07-14 12:02	49974	----a-w-	c:\programme\readsavxp_76_eng.html
2008-01-27 00:14 . 2009-05-11 20:30	75082408	----a-w-	c:\programme\90d_enu.exe
2007-10-22 17:06 . 2009-07-14 12:02	3189	----a-w-	c:\programme\readesavxpsa.txt
2004-05-07 10:25 . 2009-07-14 12:02	1822520	----a-w-	c:\programme\instmsiW.exe
2006-05-03 10:06 . 2009-02-07 10:03	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-02-07 10:03	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-02-07 10:03	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536]
"UnlockerAssistant"="c:\dokumente und einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
R0 NeroCdNt;NeroCdNt; [x]
R2 acehlp10;acehlp10;c:\windows\System32\drivers\acehlp10.sys [2007-10-26 250560]
R3 MaplomL;MaplomL; [x]
R3 MHIKEY10;MHIKEY10;c:\windows\system32\Drivers\MHIKEY10.sys [2008-05-27 51072]
R3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [2009-08-17 99176]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-11-23 7408]
R3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2007-09-05 39472]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-11-23 9968]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-11-23 74480]
S2 acedrv10;acedrv10;c:\windows\System32\drivers\acedrv10.sys [2007-10-28 583128]
S2 ASPIXNT;ASPIXNT; [x]
S2 MarxDev3;MarxDev3; [x]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
S3 WinDSLa;WinDSL-Adapter  (PPP-over-Ethernet);c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.internetcologne.de
mStart Page = hxxp://www.internetcologne.de
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-17 00:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(976)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\klogon.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll

- - - - - - - > 'lsass.exe'(1032)
c:\windows\system32\relog_ap.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll

- - - - - - - > 'explorer.exe'(2688)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-17  01:07:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-17 00:06

Vor Suchlauf: 11 Verzeichnis(se), 36.742.320.128 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 36.567.228.416 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 1E6B00115C16DE3B7EB043E639ADF4DC
         

Alt 17.12.2009, 02:30   #70
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



ich habe es noch mal drüberlaufen lassen, wegen der festplattenproblematik. diesmal wurde der pc nicht automatisch neu gebootet.



Code:
ATTFilter

ComboFix 09-12-16.01 - xxx Online 17.12.2009   1:53.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.281 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe
AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Eventuell infizierte Webseiten -----

hxxp://armmf.adobe.com
.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-17 bis 2009-12-17  ))))))))))))))))))))))))))))))
.

2009-12-15 22:17 . 2009-12-15 22:17	--------	d-----w-	C:\_OTL
2009-12-14 03:53 . 2009-12-14 03:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-12-14 01:23 . 2009-12-14 01:23	--------	d-----w-	C:\found.001
2009-12-13 21:20 . 2009-12-14 05:41	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\DoctorWeb
2009-12-11 19:31 . 2009-12-11 19:31	--------	d-----w-	C:\found.000
2009-12-09 19:09 . 2009-12-13 20:23	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\DoctorWeb A
2009-12-08 19:28 . 2009-12-16 19:21	117760	----a-w-	c:\dokumente und einstellungen\Claudia Online\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-08 19:26 . 2009-12-08 19:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-08 18:23 . 2009-12-08 18:24	--------	d-----w-	c:\programme\Sophos
2009-12-08 17:37 . 2009-12-08 17:39	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-12-08 00:59 . 2009-12-08 00:59	--------	d-----w-	c:\programme\ALCATech
2009-12-07 23:20 . 2001-05-28 14:30	8864	----a-w-	c:\windows\system32\drivers\MARXDEV3.SYS
2009-12-07 23:19 . 2001-11-05 10:56	32960	----a-w-	c:\windows\system32\drivers\mmrtkrnl.sys
2009-12-07 11:19 . 2009-12-07 11:22	4844296	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-04 21:08 . 2001-08-18 03:22	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2009-12-04 21:08 . 2001-08-18 03:22	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2009-12-04 21:07 . 2008-04-13 23:15	10368	-c--a-w-	c:\windows\system32\dllcache\hidusb.sys
2009-12-04 21:07 . 2008-04-13 23:15	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys
2009-11-29 02:43 . 2009-11-29 02:43	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Malwarebytes
2009-11-26 00:06 . 2009-11-26 00:06	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Foxit
2009-11-24 01:44 . 2009-11-24 01:44	--------	d-----w-	c:\programme\Microsoft Silverlight
2009-11-24 01:42 . 2009-11-24 01:42	--------	d-----w-	c:\programme\Microsoft
2009-11-22 23:35 . 2009-11-22 23:35	79488	----a-w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-22 19:56 . 2009-11-23 14:39	79488	----a-w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-22 19:40 . 2009-11-22 19:40	--------	d-----w-	c:\programme\SIW
2009-11-20 22:28 . 2009-11-20 22:28	177024	----a-w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe
2009-11-20 01:24 . 2009-11-20 01:24	--------	d-----w-	c:\programme\SiSoftware
2009-11-20 00:59 . 2009-11-20 00:59	--------	d-----w-	c:\programme\HD Tune
2009-11-20 00:57 . 2009-03-27 15:36	286208	----a-w-	c:\programme\gmer.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-17 01:00 . 2009-02-13 10:00	491040	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-12-17 01:00 . 2009-02-13 10:00	2857248	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2009-12-17 00:41 . 2009-02-13 10:00	32	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-12-17 00:41 . 2009-02-13 10:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-12-17 00:33 . 2009-02-13 10:00	283292	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2009-12-16 19:18 . 2009-07-14 17:00	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-12-14 06:06 . 2009-11-10 18:16	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\vlc
2009-12-09 02:11 . 2009-03-18 03:26	--------	d-----w-	c:\programme\Unlocker
2009-12-09 01:52 . 2009-02-01 18:15	--------	d-----w-	c:\programme\Free WMA to MP3 Converter
2009-12-09 00:24 . 2009-03-18 03:26	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker
2009-12-08 19:27 . 2009-07-15 07:34	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com
2009-12-08 17:21 . 2009-07-12 21:24	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-12-07 19:45 . 2009-11-08 20:58	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-03 15:14 . 2009-11-08 20:58	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-11-08 20:58	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-23 19:32 . 2009-08-15 08:28	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Nero
2009-11-22 19:20 . 2009-02-17 18:01	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Orbit
2009-11-22 19:12 . 2009-02-17 17:59	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Orbit
2009-11-21 20:17 . 2008-12-05 01:24	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\dvdcss
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp
2009-11-20 01:29 . 2009-11-20 01:29	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp
2009-11-18 01:19 . 2009-07-13 19:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-11-18 01:09 . 2009-07-13 20:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-17 20:30 . 2009-11-12 04:24	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\vlc
2009-11-12 18:01 . 2009-11-12 18:01	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\.clamwin
2009-11-12 17:11 . 2009-11-12 17:11	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\.clamwin
2009-11-12 17:10 . 2009-11-12 17:10	--------	d-----w-	c:\programme\ClamWin
2009-11-11 18:11 . 2009-07-13 20:06	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-11-10 14:36 . 2009-11-10 14:28	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Winamp
2009-11-10 14:30 . 2009-11-10 14:28	--------	d-----w-	c:\programme\Winamp
2009-11-10 14:06 . 2009-11-10 14:06	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Winamp
2009-11-08 20:58 . 2009-11-08 20:58	--------	d-----w-	c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Malwarebytes
2009-11-08 20:58 . 2009-11-08 20:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-04 07:35 . 2009-07-14 17:03	117760	----a-w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-11-02 15:02 . 2009-11-02 15:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-10-31 15:01 . 2009-10-31 15:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-10-28 09:44 . 2001-08-23 11:00	70778	----a-w-	c:\windows\system32\perfc007.dat
2009-10-28 09:44 . 2001-08-23 11:00	405448	----a-w-	c:\windows\system32\perfh007.dat
2009-10-25 15:20 . 2009-10-25 15:20	--------	d-----w-	c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\dvdcss
2009-10-19 11:09 . 2009-02-13 10:01	95259	----a-w-	c:\windows\system32\drivers\klick.dat
2009-10-19 11:09 . 2009-02-13 10:01	108059	----a-w-	c:\windows\system32\drivers\klin.dat
2009-05-12 14:35 . 2009-07-14 12:02	49974	----a-w-	c:\programme\readsavxp_76_eng.html
2008-01-27 00:14 . 2009-05-11 20:30	75082408	----a-w-	c:\programme\90d_enu.exe
2007-10-22 17:06 . 2009-07-14 12:02	3189	----a-w-	c:\programme\readesavxpsa.txt
2004-05-07 10:25 . 2009-07-14 12:02	1822520	----a-w-	c:\programme\instmsiW.exe
2006-05-03 10:06 . 2009-02-07 10:03	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-02-07 10:03	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-02-07 10:03	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-12-16_23.59.35   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-17 00:35 . 2009-12-17 00:35	16384              c:\windows\Temp\Perflib_Perfdata_768.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536]
"UnlockerAssistant"="c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [12.02.2009 05:56 39472]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.11.2009 08:43 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.11.2009 08:43 74480]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [28.10.2007 16:35 583128]
R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [27.12.2008 17:00 6336]
R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [08.12.2009 00:20 8864]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 14:28 24592]
R3 WinDSLa;WinDSL-Adapter  (PPP-over-Ethernet);c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [27.12.2008 17:00 13344]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [26.10.2007 14:53 250560]
S3 MaplomL;MaplomL;c:\windows\system32\drivers\maploml.sys [28.12.2008 09:13 38336]
S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [15.08.2009 21:30 51072]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [20.11.2009 02:24 99176]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.11.2009 08:43 7408]
S3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.internetcologne.de
mStart Page = hxxp://www.internetcologne.de
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-17 02:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(940)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(996)
c:\windows\system32\relog_ap.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
.
Zeit der Fertigstellung: 2009-12-17  02:02:56
ComboFix-quarantined-files.txt  2009-12-17 01:02

Vor Suchlauf: 14 Verzeichnis(se), 36.575.940.608 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 36.538.298.368 Bytes frei

- - End Of File - - 82D7AEE356E985173DE6EC03A3AF20A3
         

Alt 17.12.2009, 09:44   #71
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Bitte nicht auf eigene Faust hantieren.
Hast du chkdsk laufen lassen ?

Code:
ATTFilter
armmf.adobe.com
         
Dir bekannt?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 17.12.2009, 16:04   #72
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



ist das die datenträgerüberprüfung? dann ja, vor zwei tagen in etwa, glaube ich, hat der pc automatisch beim neustart alles geprüft, weil bei einem virenscan- ich glaube drweb? defekte 2 dateien/verzeichnisse? angezeigt wurden.

Code:
ATTFilter
armmf.adobe.com
         

ich war erst skeptisch und dann dachte ich , das kommt von der installation des aktuellen adobe readers, da die meldung neu ist...


super-anti hat auch reaktion ausgelöst:

Code:
ATTFilter
16.12.2009 20:20:05	Prozess C:\Programme\SUPERAntiSpyware\2ae42daa-52e2-4b9b-9558-8d917d7ae1f2.exe (PID: 3416): Versuch zur Ausführung von verdächtigen Aktionen wurde erlaubt.
         


hier mal ein auszug der neuesten kaspersky-meldungen.:

Code:
ATTFilter
17.12.2009 02:15:09	Prozess C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (PID 428) wurde erfolgreich abgeschlossen.
17.12.2009 02:15:09	Fehler beim Verschieben von C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe in die Quarantäne (Zugriff ist verboten oder Objekt wurde nicht gefunden)
17.12.2009 02:15:10	Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
17.12.2009 02:15:15	Der Versuch von Prozess  mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 02:15:15	Der Versuch von Prozess  mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 02:27:40	Der Versuch von Prozess  mit PID 1928 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 02:34:51	Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).
17.12.2009 02:34:51	Datei C:\WINDOWS:45203195861BE07A wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.
17.12.2009 02:34:51	Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).
17.12.2009 02:34:54	Datei C:\WINDOWS:45203195861BE07A wird beim Neustart des Computers gelöscht werden.
17.12.2009 02:57:36	Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35
17.12.2009 03:50:08	Der Versuch von Prozess  mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 03:50:08	Der Versuch von Prozess  mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 15:11:27	Schutz des Computers ist aktiv.
17.12.2009 15:11:34	Der Versuch von Prozess  mit PID 1856 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 15:11:41	Der Versuch von Prozess  mit PID 916 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
17.12.2009 15:22:51	Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 221.130.140.18. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 15:22:51
17.12.2009 15:23:11	Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).
         


und ein und die selbe (u.a.) adresse wird von kaspersky häufig gemeldet:


Code:
ATTFilter
17.12.2009 02:57:36	Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35
         


weiss nicht, ob das hilft, dachte ich poste es mal...

alles weitere wieder nur nach anweisung

Alt 17.12.2009, 16:21   #73
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



schritt 1

Öffne Kaspersky. Klicke auf "Einstellungen", "Service" und auf "Erweitert". Entferne das Häkchen (ganz links/unter "Anzeige") bei "Erkennung von Netzwerkangriffen".
Klicke auf "OK", auf "Übernehmen" und auf "OK".

Diese Lücke wurde von MS schon sehr lange gefixt.

schritt 2

Lösche unter C:\ die Ordner Found.001 und 000


schritt 3

Deinstalliere SuperAntiSpyware.


schritt 4


Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KillAll::
ADS::
C:\WINDOWS:45203195861BE07A
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.



schritt 5

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in Code-Tags hier in den Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 17.12.2009, 16:32   #74
madz
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



statt:

"Erkennung von Netzwerkangriffen".


finde ich unter ANSICHT nur:

"ereignisbenachrichtigung aktivieren" kann es das sein?


'schulligung- habs doch gefunden. erkennen von netzwerkangriffen. haken raus bei anzeige und ton.

bei deinstallation von super freeware sind zwei seltsame sachen passiert:
1. fenster öffnet sich: close the following application before continuing install:

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A\trojaner-board\mozilla firefox (wiedergabe nicht 100% korrekt)


daraufhin habe ich firefox geschlossen.

dann öffneten sich plötzlich 2 ie -fenster und kaspersky meldet alarm:


17.12.2009 16:46:39 Die Anwendung IEXPLORE.EXE wurde verändert

entweder wurde sie verändert, oder ist infiziert.


ich habe den zugriff verweigert, und die fenster geschlossen.


lt CCleaner ist super freeware deinstalliert.

Geändert von madz (17.12.2009 um 16:54 Uhr)

Alt 17.12.2009, 16:33   #75
Larusso
/// Selecta Jahrusso
 
Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - Standard

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A



Ich hab die Anleitung selber gegooglet. Ich hab keine Ahnung von Kas
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A
administrator, alles gelöscht, anti-malware, c:\windows, cdburnerxp, code, dateien, file, gelöscht, gservice, hidden object, hkus\s-1-5-18, image, kaspersky, locker, meldung, microsoft, modifikation, neue, neustart, object, online, plug-in, problem, programme, registrierungsschlüssel, rogue.installer, scan, security, security suite, service, software, version, windows




Ähnliche Themen: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A


  1. Windows 7: Kaspersky findet C:\$RECYCLEBIN Trojaner und E-Mail account gehackt?
    Log-Analyse und Auswertung - 14.07.2014 (13)
  2. Kaspersky findet 7 Trojaner, kann aber nur 2 verarbeiten - malwarebytes findet nichts
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (6)
  3. Windows 7: Kaspersky Internet Security 2013 findet Trojaner HEUR:Exploit.Java.CVE-2013-1493.gen
    Log-Analyse und Auswertung - 20.11.2013 (57)
  4. Kaspersky findet Backdoor.Win32.Androm.cue
    Plagegeister aller Art und deren Bekämpfung - 27.10.2013 (17)
  5. GVU Trojaner auf Netbook Windows 7 Starter, Kaspersky findet nichts!
    Plagegeister aller Art und deren Bekämpfung - 10.08.2013 (51)
  6. Windows 7: Kaspersky findet nichts aber der Rechner verhält sich sehr auffällig
    Log-Analyse und Auswertung - 31.05.2013 (20)
  7. Windows 7 - GVU Trojaner 2.04 - Kaspersky findet Disabletaskmgr etc. nicht, was tun?
    Plagegeister aller Art und deren Bekämpfung - 08.07.2012 (2)
  8. Gmer meldet: service C:\WINDOWS\system32\svchost.exe? (*** hidden *** ) WSC <-- ROOTKIT !
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (4)
  9. Kaspersky meldet verschlüsselte Verbindung /PDM INVADER /PDM Hidden data sending
    Log-Analyse und Auswertung - 30.03.2010 (1)
  10. Hidden Object
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (3)
  11. Hidden.Object (Modifikation) bei C:\Windows:15E734C8D5AF723B
    Log-Analyse und Auswertung - 19.07.2008 (0)
  12. windows script host shell object
    Plagegeister aller Art und deren Bekämpfung - 23.04.2008 (12)
  13. Kaspersky meldet hidden.object - löschen nicht erfolgreich
    Log-Analyse und Auswertung - 12.11.2007 (3)
  14. gefunden: potentiell gefährliche Software Hidden object iexplore.exe
    Log-Analyse und Auswertung - 17.04.2007 (9)
  15. Kaspersky findet 3 Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.12.2006 (8)
  16. Tds-3 Trojan scanner findet auch Hidden ADS
    Antiviren-, Firewall- und andere Schutzprogramme - 04.04.2005 (5)
  17. Kaspersky findet TrojanDropper in Logitechordner (Fehlalarm?)
    Plagegeister aller Art und deren Bekämpfung - 26.10.2004 (16)

Zum Thema Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A - ccleaner erfolgreich laufen lassen, combofix ging leider nicht- notepad-meldung nach dem ausführen der cofi.exe: Code: Alles auswählen Aufklappen ATTFilter ComboFix is Offline. Please visit http://download.bleepingcomputer.com/sUBs/ComboFix.html - Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A...
Archiv
Du betrachtest: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.