Hallo erstmal!
Ich habe seit kurzem einige Probleme mit meinem PC, und ich hoffe, dass ihr mir helfen könnt.
Vor ein paar Tagen hatte ich im Leerlauf eine CPU-Auslastung von durchgehend 100% da fiel mir ein rozess namens svchost.exe vor, der 90-99% Auslastung hatte. Den habe ich dann beendet. Dann kam eine Meldung, dass mein PC in einer Minute heruntergefahren wird. Das konnte ich jedoch mit shutdown -a abbrechen. Das ging dann bis heute so.
Als ich heute morgen meinen PC gestartet habe, kam eine Meldung, dass Security Tool erfolgreich installiert wurde. Ich musste wenig später zur Arbeit, darum konnte ich mich nicht weiter darum kümmern. Nach der Arbeit habe ich meinen PC wieder gestartet. Ich konnte mich ganz normal anmelden, aber danach kann ich den Desktop nicht sehen, der ist nur eine schwarze Fläche. Alle par Sekunden kommt eine Meldung von Security Tool, die ich ausnahmslos ungelesen schließe. Und wenn ich Programme öffnen möchte, kommt eine Meldung, dass die jeweilige .exe von einem Wurm befallen wurde und meine nicht vorhandenen Kreditkarteninfos weitersenden möchte. Das ist außer beim Explorer bei jedem Programm. Außerdem kann ich keine Verbindung mit dem Internet herrstellen. Darum schreibe ich jetzt vom Laptop.

Kann man da irgendwas machen, oder muss ich jetzt neu aufsetzen?

Hi,

Neuaufsetzen ist mit Sicherheit das einfachste!

Wenn es Dir möglich ist neuaufzusetzen, dann können wir auch CF im abgesicherten Modus (f8 beim Booten) ausprobieren, mehr als endgültig hops gehen kann der Rechner dabei nicht...

Versuchen wir erstmal GMER (ebenfalls abgesicherter Modus):

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Danke für die schnelle Antwort!

Hier ist das von GMER

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-09 19:54:23
Windows 5.1.2600 Service Pack 3
Running: docvepw7.exe; Driver: C:\DOKUME~1\JF\LOKALE~1\Temp\pwtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT spqz.sys ZwEnumerateKey [0xF74F5CA2] <-- ROOTKIT !!!
SSDT spqz.sys ZwEnumerateValueKey [0xF74F6030] <-- ROOTKIT !!!

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89F4E048
Device \FileSystem\Ntfs \Ntfs 8A1931F8
Device \FileSystem\Fastfat \Fat 89DBD500

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] zcmroon <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Hi,

dann las mal CF von der Leine...
Wie bist Du denn an das Teil gekommen...

chris

So, CF arbeitet jetzt. Ich habe die Programme auf den Laptop geladen und dann auf einen USB-Stick gepackt.

Hi,

während der Ausführung von CF NICHTS am Rechner machen...

chris

so, jetzt ist er fertig

ComboFix 10-01-04.01 - JF 09.01.2010 21:23:26.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1279.926 [GMT 1:00]
ausgeführt von:: H:\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\79504328
c:\dokumente und einstellungen\All Users\Anwendungsdaten\79504328\79504328.cfg
c:\dokumente und einstellungen\All Users\Anwendungsdaten\79504328\79504328.exe
c:\dokumente und einstellungen\JF\Anwendungsdaten\avdrn.dat
c:\dokumente und einstellungen\JF\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\JF\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\JF\Anwendungsdaten\Desktopicon\uninst.exe
c:\dokumente und einstellungen\JF\Desktop\Security Tool.lnk
c:\programme\WinPCap
c:\programme\WinPCap\rpcapd.exe
c:\windows\pi.exe
c:\windows\run.log
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\Temp\14.tmp.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2009-12-09 bis 2010-01-09 ))))))))))))))))))))))))))))))
.

2010-01-09 06:27 . 2010-01-09 06:27 110 ----a-w- c:\windows\system32\fjhdyfhsn.bat
2010-01-03 19:10 . 2010-01-09 20:45 763904 ----a-w- c:\windows\system32\drivers\zcmroon.sys
2010-01-03 14:04 . 2010-01-05 14:02 -------- d-----w- c:\dokumente und einstellungen\JF\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2009-12-28 23:46 . 2009-12-29 18:53 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\DVD Flick
2009-12-28 23:45 . 2003-01-26 12:41 40960 ----a-w- c:\windows\system32\ssubtmr6.dll
2009-12-28 23:45 . 2009-12-28 23:45 -------- d-----w- c:\programme\DVD Flick
2009-12-28 22:36 . 2009-12-28 22:36 -------- d-----w- C:\videooutput
2009-12-28 22:36 . 2009-12-28 22:36 -------- d-----w- c:\programme\Smallvideosoft
2009-12-28 22:36 . 2009-06-04 12:17 8676883 ----a-w- c:\windows\system32\NCMedia2.dll
2009-12-24 17:13 . 2009-12-30 00:25 -------- d-----w- c:\dokumente und einstellungen\JF\Lokale Einstellungen\Anwendungsdaten\Sony
2009-12-24 17:11 . 2009-12-24 17:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Sony Shared
2009-12-24 17:10 . 2009-12-24 17:11 -------- d-----w- c:\programme\Sony
2009-12-24 17:10 . 2009-12-24 17:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Corporation
2009-12-24 17:07 . 2009-12-24 17:07 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Sony Setup
2009-12-24 17:07 . 2009-12-24 17:12 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Sony
2009-12-24 17:07 . 2009-12-24 17:07 -------- d-----w- c:\programme\Sony Setup
2009-12-18 16:58 . 2009-12-18 16:58 -------- d-----w- c:\programme\gs
2009-12-18 16:56 . 2009-12-21 14:04 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\WordToPDF
2009-12-18 16:56 . 2009-12-18 16:56 -------- d-----w- c:\programme\WordToPDF
2009-12-16 16:51 . 2009-12-16 16:51 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\McLoad

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 15:36 . 2009-12-08 16:01 -------- d-----w- c:\programme\thriXXX
2010-01-09 15:28 . 2010-01-09 15:28 24 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat
2010-01-09 06:27 . 2010-01-09 06:27 20 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat
2010-01-09 06:08 . 2008-05-21 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-01-06 14:19 . 2009-10-14 12:53 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\vlc
2010-01-05 19:11 . 2008-10-15 11:32 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\teamspeak2
2010-01-04 20:56 . 2008-04-15 13:30 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Skype
2010-01-04 15:09 . 2008-04-15 13:33 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\skypePM
2010-01-04 12:52 . 2009-06-08 10:55 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Winamp
2010-01-04 12:09 . 2008-10-31 13:09 -------- d-----w- c:\programme\Opera
2010-01-03 19:36 . 2008-04-03 20:57 21960 ----a-w- c:\dokumente und einstellungen\JF\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-03 19:10 . 2010-01-03 19:10 16 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\fvgqad.dat
2010-01-03 18:26 . 2008-03-08 13:43 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-01-03 11:56 . 2008-10-20 17:36 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Hamachi
2010-01-01 21:33 . 2009-11-25 14:45 -------- d-----w- c:\programme\iTunes
2009-12-28 19:14 . 2009-05-31 14:08 -------- d-----w- c:\programme\ICQ6.5
2009-12-26 19:16 . 2009-01-21 12:50 189104 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-12-26 19:03 . 2009-07-17 11:25 139584 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-12-24 20:59 . 2009-10-14 15:54 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\dvdcss
2009-12-13 13:19 . 2009-06-21 12:41 -------- d-----w- c:\programme\Secret Maryo Chronicles
2009-12-10 16:44 . 2008-03-08 13:32 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-07 17:12 . 2009-11-05 14:29 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-30 14:54 . 2008-11-12 15:18 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Apple Computer
2009-11-25 14:46 . 2009-11-25 14:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-11-25 14:45 . 2009-11-25 14:45 -------- d-----w- c:\programme\iPod
2009-11-25 14:45 . 2008-11-12 15:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-11-25 14:43 . 2009-11-25 14:43 -------- d-----w- c:\programme\QuickTime
2009-11-22 18:24 . 2009-11-22 18:24 -------- d-----w- c:\programme\Gemeinsame Dateien\DirectX
2009-11-22 18:22 . 2009-11-22 18:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2009-11-22 12:48 . 2009-11-22 12:48 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Sierra Entertainment
2009-11-22 12:37 . 2009-10-04 00:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-11-20 12:13 . 2009-11-18 20:07 -------- d-----w- c:\programme\Gabelstapler Simulator 2009
2009-11-18 19:01 . 2009-11-18 18:59 -------- d-----w- c:\programme\Bus-Simulator 2009
2009-11-18 15:02 . 2009-05-10 16:11 98304 ----a-w- c:\windows\system32CmdLineExt.dll
2009-11-15 14:04 . 2009-11-15 14:04 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Ubisoft
2009-11-15 14:02 . 2009-11-15 14:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tages
2009-11-14 23:08 . 2009-11-14 23:08 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\L4dOgerLauncher
2009-11-13 19:34 . 2008-12-18 18:53 -------- d-----w- c:\dokumente und einstellungen\JF\Anwendungsdaten\Ahead
2009-10-25 06:34 . 2004-08-04 12:00 80464 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 06:34 . 2004-08-04 12:00 448918 ----a-w- c:\windows\system32\perfh007.dat
2009-10-22 19:02 . 2009-10-22 19:02 65171 ----a-w- c:\windows\BricoPackUninst.cmd
2009-10-22 19:02 . 2009-10-22 18:57 6108 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
2009-10-22 19:02 . 2004-08-04 12:00 219136 ----a-w- c:\windows\system32\uxtheme.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2009-06-16 16:22 1144712 ----a-w- c:\programme\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-06-16 1144712]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-06-16 1144712]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-17 68856]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"WashAndGo - Cleanup of old Backupfiles"="c:\programme\Purgatio Pro\Checker.exe" [2003-04-07 71680]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-09-03 3342336]
"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\JF\Startmen�\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]
siszyd32.exe [2008-4-14 28672]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Dokumente und Einstellungen\\JF\\Desktop\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Dokumente und Einstellungen\\JF\\Desktop\\Spiele\\WarcraftIII-FrozenThrone\\war3.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Dokumente und Einstellungen\\JF\\Desktop\\Spiele\\Cossacks - european war\\dmcr.exe"=
"c:\\Dokumente und Einstellungen\\JF\\Desktop\\Spiele\\Cossacks - Back To War\\dmcr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Dokumente und Einstellungen\\JF\\Desktop\\CryptLoad_1.1.6\\RouterClient.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\JF\\Desktop\\Spiele\\CS\\hl2.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [01.12.2008 19:51 717296]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.11.2009 15:29 108289]
S3 lac97inf;lac97inf;\??\c:\dokume~1\JF\LOKALE~1\Temp\lac97inf.sys --> c:\dokume~1\JF\LOKALE~1\Temp\lac97inf.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [22.11.2008 12:53 23064]
S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\JF\Desktop\Spiele\UltraStar Deluxe\zlportio.sys --> c:\dokumente und einstellungen\JF\Desktop\Spiele\UltraStar Deluxe\zlportio.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - zcmroon
.
Inhalt des "geplante Tasks" Ordners

2010-01-09 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-15 13:02]

2010-01-09 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2009-06-16 16:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/?&affid=1&uid=2DFBD361-AF14-41D6-B3F3-DD3C7E7A34E4
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\JF\Anwendungsdaten\Mozilla\Firefox\Profiles\2almrf0v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.yodl.de/?&affid=1&uid=2DFBD361-AF14-41D6-B3F3-DD3C7E7A34E4
FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Sony\Media Go\npmediago.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Steam - j:\steam\Steam.exe
AddRemove-3DSexVilla2-055.001 - c:\tivola\3D-SV\Binaries\Uninstall-3DSexVilla2-Everlust-055.001.exe
AddRemove-Age of Empires 2.0 - c:\programme\Microsoft Games\Age of Empires II\UNINSTAL.EXE
AddRemove-Blender - i:\programme\Blender Foundation\Blender\uninstall.exe
AddRemove-Call of Duty Modern Warfare 2_is1 - j:\spiele\CoD6\Modern Warfare 2\unins000.exe
AddRemove-Cossacks II - i:\neuer ordner\GSC Game World\Cossacks II\uninstall.exe
AddRemove-eBay Icon - c:\dokumente und einstellungen\JF\Anwendungsdaten\Desktopicon\uninst.exe
AddRemove-I Of The Dragon - j:\spiele\I Of The Dragon\Uninstall.exe
AddRemove-Nidesoft DVD Ripper_is1 - i:\programme\Nidesoft Studio\Nidesoft DVD Ripper 5\unins000.exe
AddRemove-Robin Hood - Die Legende von Sherwood - c:\progra~1\WANADO~1\ROBINH~1\UNWISE.EXE
AddRemove-The Moon Project - j:\spiele\THEMOO~1\UNWISE.EXE
AddRemove-{01521746-02A6-4A72-00BD-A285DF6B80C6} - i:\spiele\Die Sims\Die Sims 2\Wilde Campus-Jahre\EAUninstall.exe
AddRemove-{3F290582-3F4E-4B96-009C-E0BABAA40C42} - j:\spiele\EA GAMES\Die Schlacht um Mittelerde(tm)\EAUninstall.exe
AddRemove-{6E7DD182-9FC6-4651-0095-2E666CC6AF35} - i:\spiele\Die Sims\Die Sims 2\Hauptspiel\EAUninstall.exe
AddRemove-{7B3577F5-1D82-4C9B-008B-69D026FD8BCA} - i:\spiele\Die Sims\Die Sims 2\Open for Business\EAUninstall.exe
AddRemove-{87F6C83D-F949-4d14-B5CB-DC8C75F8932D} - i:\spiele\Die Sims\Die Sims 2\Freizeit-Spaß\EAUninstall.exe
AddRemove-{B6F5B704-06D3-4687-90F3-6195304AD755} - i:\spiele\Die Sims\Die Sims 2\Apartment-Leben\EAUninstall.exe
AddRemove-{F7529650-B9DB-481B-0089-A2AC3C2821C1} - i:\spiele\Die Sims\Die Sims 2\Nightlife\EAUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 21:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spgy.sys >>UNKNOWN [0x8A117938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf765bf28
\Driver\ACPI -> ACPI.sys @ 0xf7475cb8
\Driver\atapi -> atapi.sys @ 0xbae0cb40
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zcmroon]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1409082233-963894560-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f9,fd,cb,c1,09,52,a4,6c,b5,2e,03,74,0e,92,c9,de,bc,ce,86,7a,58,be,7a,
ec,eb,eb,c7,ee,e7,5e,be,be,97,62,88,b7,a5,1a,bc,8f,e6,fb,8a,a1,fa,15,e6,4f,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_USERS\S-1-5-21-1409082233-963894560-682003330-1004\Software\SecuROM\License information*]
"datasecu"=hex:ae,2b,49,ca,07,8b,a4,44,8f,76,b6,38,f1,a5,93,67,c5,d9,b4,f8,c8,
c0,6b,ce,53,d0,ba,68,80,5b,9e,2e,d6,97,0b,11,b5,f1,98,90,30,3e,37,73,70,a8,\
"rkeysecu"=hex:43,60,0b,b7,9c,5d,39,fa,ab,e6,bf,4a,57,56,56,0c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(304)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1496)
c:\windows\system32\SHDOCVW.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-01-09 21:58:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-09 20:58

Vor Suchlauf: 22 Verzeichnis(se), 35.959.681.024 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 38.480.351.232 Bytes frei

- - End Of File - - 50A0E7D9C92EDD81AE3B0BFF49871857

Hi,

läuft der PC etwas besser?
Für was brauchst Du WinPCap auf dem Rechner?


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\ssubtmr6.dll
c:\windows\system32\drivers\zcmroon.sys
c:\windows\system32\NCMedia2.dll
c:\dokumente und einstellungen\JF\Desktop\Spiele\UltraStar Deluxe\zlportio.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

 
Files to delete:
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\fvgqad.dat
c:\programme\Ask.com\GenericAskToolbar.dll
c:\programme\Ask.com\UpdateTask.exe

Folders to delete:
c:\programme\Ask.com
c:\dokume~1\JF\LOKALE~1\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Lass dann im Anschluß MAM laufen...

chris

Also, ich kann den PC jetzt wieder benutzen und damit auch ins Internet gehen. Nur das mit dem svchost.exe ist noch da. Aber sonst läuft jetzt alles wieder.

Ehrlich gesagt, ich habe keine Ahnung, was WinPCap ist. Ich habe vorher nie davon gehört.

So, das ist für c:\windows\system32\ssubtmr6.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.09 -
AhnLab-V3 5.0.0.2 2010.01.09 -
AntiVir 7.9.1.130 2010.01.08 -
Antiy-AVL 2.0.3.7 2010.01.08 -
Authentium 5.2.0.5 2010.01.09 -
Avast 4.8.1351.0 2010.01.09 -
AVG 8.5.0.430 2010.01.04 -
BitDefender 7.2 2010.01.09 -
CAT-QuickHeal 10.00 2010.01.09 -
ClamAV 0.94.1 2010.01.09 -
Comodo 3514 2010.01.08 -
DrWeb 5.0.1.12222 2010.01.09 -
eSafe 7.0.17.0 2010.01.07 -
eTrust-Vet 35.2.7226 2010.01.08 -
F-Prot 4.5.1.85 2010.01.09 -
F-Secure 9.0.15370.0 2010.01.09 -
Fortinet 4.0.14.0 2010.01.09 -
GData 19 2010.01.09 -
Ikarus T3.1.1.80.0 2010.01.09 -
Jiangmin 13.0.900 2010.01.09 -
K7AntiVirus 7.10.943 2010.01.09 -
Kaspersky 7.0.0.125 2010.01.09 -
McAfee 5856 2010.01.09 -
McAfee+Artemis 5856 2010.01.09 -
McAfee-GW-Edition 6.8.5 2010.01.09 -
Microsoft 1.5302 2010.01.09 -
NOD32 4757 2010.01.09 -
Norman 6.04.03 2010.01.09 -
nProtect 2009.1.8.0 2010.01.09 -
Panda 10.0.2.2 2010.01.09 -
PCTools 7.0.3.5 2010.01.09 -
Prevx 3.0 2010.01.09 -
Rising 22.29.05.04 2010.01.09 -
Sophos 4.49.0 2010.01.09 -
Sunbelt 3.2.1858.2 2010.01.09 -
Symantec 20091.2.0.41 2010.01.09 -
TheHacker 6.5.0.3.143 2010.01.09 -
TrendMicro 9.120.0.1004 2010.01.09 -
VBA32 3.12.12.1 2010.01.09 -
ViRobot 2010.1.8.2128 2010.01.08 -
VirusBuster 5.0.21.0 2010.01.09 -
weitere Informationen
File size: 40960 bytes
MD5...: dc7a3bc0fc185cd68848dc6f7d7b026b
SHA1..: c661cb1198f5e3927a67884e71ca95ff33026224
SHA256: 6618b3ab331642449f0b07e4f39abf9fc3bb90ae90b298f1b9ffd58ca5397399
ssdeep: 768:vjBzwlSCIuAXEDsyPFHhOlLA57EkcAZnhtyFmNj:vLuAUocFHMlL07fRZPH
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13e4
timedatestamp.....: 0x3e33e583 (Sun Jan 26 13:41:23 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4885 0x5000 5.66 5acec7c9e9ddbd64f6dd64703d7e2e5e
.data 0x6000 0x5f8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x1bac 0x2000 3.88 fdf07ec06ad68b2436bb0f848c2b57a3
.reloc 0x9000 0x57a 0x1000 2.66 065b7238c4cf413b8007f104d058aeb3

( 1 imports )
> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaAptOffset, __vbaFreeVarList, _adj_fdiv_m64, __vbaRaiseEvent, _adj_fprem1, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, __vbaGenerateBoundsError, DllFunctionCall, _adj_fpatan, EVENT_SINK_Release, _CIsqrt, -, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFailedFriend, __vbaFPException, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, -, -, -, -, __vbaStrToAnsi, _CIatan, __vbaStrMove, __vbaCastObj, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Windows OCX File (90.7%)
Win32 Executable Generic (6.2%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: vbAccelerator
copyright....: _none_
product......: SSubTmr6
description..: Subclassing and Timer Assistant, modified for configurable message response, multi control support and bug fixed for timer errors.
original name: SSubTmr6.dll
internal name: SSubTmr6
file version.: 1.01.0003
comments.....: SSubTmr, Steve McMahon. Adapted from SubTimer.DLL by Bruce McKinney
signers......: -
signing date.: -
verified.....: Unsigned

Hi,

was machen die restlichen Test bzw. Logs?

chris

c:\windows\system32\drivers\zcmroon.sys konnte ich nicht hochladen, nach ein paar Minuten stand da was von einem "Internal Server Error". Hier ist das Ergebnis für c:\windows\system32\NCMedia2.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.10 -
AhnLab-V3 5.0.0.2 2010.01.10 -
AntiVir 7.9.1.130 2010.01.08 -
Antiy-AVL 2.0.3.7 2010.01.08 -
Authentium 5.2.0.5 2010.01.09 -
Avast 4.8.1351.0 2010.01.10 -
AVG 8.5.0.430 2010.01.04 -
BitDefender 7.2 2010.01.10 -
CAT-QuickHeal 10.00 2010.01.09 -
ClamAV 0.94.1 2010.01.09 -
Comodo 3534 2010.01.10 -
DrWeb 5.0.1.12222 2010.01.10 -
eSafe 7.0.17.0 2010.01.07 -
eTrust-Vet 35.2.7226 2010.01.08 -
F-Prot 4.5.1.85 2010.01.09 -
F-Secure 9.0.15370.0 2010.01.10 -
Fortinet 4.0.14.0 2010.01.09 -
GData 19 2010.01.10 -
Ikarus T3.1.1.80.0 2010.01.10 -
Jiangmin 13.0.900 2010.01.10 -
K7AntiVirus 7.10.943 2010.01.09 -
Kaspersky 7.0.0.125 2010.01.10 -
McAfee 5856 2010.01.09 -
McAfee+Artemis 5856 2010.01.09 -
McAfee-GW-Edition 6.8.5 2010.01.10 -
Microsoft 1.5302 2010.01.10 -
NOD32 4757 2010.01.09 -
Norman 6.04.03 2010.01.10 -
nProtect 2009.1.8.0 2010.01.10 -
Panda 10.0.2.2 2010.01.09 -
PCTools 7.0.3.5 2010.01.10 -
Prevx 3.0 2010.01.10 -
Rising 22.29.06.04 2010.01.10 -
Sophos 4.49.0 2010.01.10 -
Sunbelt 3.2.1858.2 2010.01.09 -
Symantec 20091.2.0.41 2010.01.10 -
TheHacker 6.5.0.3.145 2010.01.10 -
TrendMicro 9.120.0.1004 2010.01.10 -
VBA32 3.12.12.1 2010.01.09 -
ViRobot 2010.1.8.2128 2010.01.08 -
VirusBuster 5.0.21.0 2010.01.09 -
weitere Informationen
File size: 8676883 bytes
MD5...: 62ef53534d4584f030fa122deed7073e
SHA1..: 327aa773ae2183e4443dbb5b0b33875a9b11d627
SHA256: 3ba1a13cdc986b94b4aecedfb066b1e78103cb4a152c686ecf975c27152d1c43
ssdeep: 196608:O7udOlvGHSAON3/XhsILU3k5d6U2zaTur4fVfyH:qvGHSAm/X+O5d6U2z
aTur4fVC
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: VXD Driver (81.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (18.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Und bei
c:\dokumente und einstellungen\JF\Desktop\Spiele\UltraStar Deluxe\zlportio.sys kommt folgende Meldung: 0 bytes size received / Se ha recibido un archivo vacio

Avenger hab ich jetzt ausgeführt, beim Neustart konnte ich Windows nicht normal starten, also habe ich die letzte als funtionierend bekannte Konfiguration ausgewählt, und nach der Anmeldung hat sich Security Tool wieder installiert! Hier ist die Logdatei von Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\fjhdyfhsn.bat" deleted successfully.
File "c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat" deleted successfully.
File "c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat" deleted successfully.
File "c:\dokumente und einstellungen\LocalService\Anwendungsdaten\fvgqad.dat" deleted successfully.
File "c:\programme\Ask.com\GenericAskToolbar.dll" deleted successfully.
File "c:\programme\Ask.com\UpdateTask.exe" deleted successfully.
Folder "c:\programme\Ask.com" deleted successfully.
Folder "c:\dokume~1\JF\LOKALE~1\Temp" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!

Während des MAM Scans kam auf einmal ein Bluescreen, und nach einem Neustart war wieder alles wie gestern, also schwarzer Desktop und keine Programme ausführbar. Soll ich jetzt wieder Combofix benutzen?