Firefox leitet ungewollt um, Antivirenprogramme werden blockiert

Feitan · 20.01.2010, 18:20

Okay, hier der Report von RootRepeal:

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2010/01/20 17:38
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_iaStor.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys
Address: 0xA0722000	Size: 892928	File Visible: No	Signed: -
Status: -

Name: PCI_PNP4422
Image Path: \Driver\PCI_PNP4422
Address: 0x00000000	Size: 0	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA02C3000	Size: 49152	File Visible: No	Signed: -
Status: -

Name: spmg.sys
Image Path: spmg.sys
Address: 0xF7386000	Size: 1052672	File Visible: No	Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000	Size: 0	File Visible: No	Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:\windows\temp\mcmsc_xhxydguwsmhhfid
Status: Allocation size mismatch (API: 4096, Raw: 0)

Path: c:\windows\temp\sqlite_ozcemi6xfctteyh
Status: Allocation size mismatch (API: 4096, Raw: 0)

SSDT
-------------------
#: 041	Function Name: NtCreateKey
Status: Hooked by "spmg.sys" at address 0xf73870e0

#: 071	Function Name: NtEnumerateKey
Status: Hooked by "spmg.sys" at address 0xf73a5ca4

#: 073	Function Name: NtEnumerateValueKey
Status: Hooked by "spmg.sys" at address 0xf73a6032

#: 119	Function Name: NtOpenKey
Status: Hooked by "spmg.sys" at address 0xf73870c0

#: 160	Function Name: NtQueryKey
Status: Hooked by "spmg.sys" at address 0xf73a610a

#: 177	Function Name: NtQueryValueKey
Status: Hooked by "spmg.sys" at address 0xf73a5f8a

#: 247	Function Name: NtSetValueKey
Status: Hooked by "spmg.sys" at address 0xf73a619c

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System	Address: 0x865671f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CREATE]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLOSE]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_READ]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_WRITE]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_EA]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_EA]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_CLEANUP]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: Fastfat, IRP_MJ_PNP]
Process: System	Address: 0x85b1a1f8	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_CREATE]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_CLOSE]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_READ]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_WRITE]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_POWER]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbstor, IRP_MJ_PNP]
Process: System	Address: 0x852b0500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System	Address: 0x859e81f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System	Address: 0x865691f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System	Address: 0x854c41f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System	Address: 0x854c41f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x854c41f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x854c41f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System	Address: 0x854c41f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System	Address: 0x854c41f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System	Address: 0x85a8a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x857d44d8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System	Address: 0x857d44d8	Size: 121

==EOF==

Und vielen Dank für deine Geduld!

edit: firefox neu installiert, läuft trotzdem nicht. IE auch nicht...

Kos · 20.01.2010, 21:03

Wieder nichts...

Ok, wir haben da noch diesen Registryeintrag im Nacken, erstmal den weg. Speichere bitte die Datei aus dem Anhang auf dem Desktop und führe sie mit Doppelklick aus, Abfrage bestätigen. Die Datei kann danach gelöscht werden.

Nu gut, versuchen wir es mit der "Schwarm-Intelligenz", vielleicht ist sie schlauer als ich.
Überprüfe deinen Rechner mit PrevX. Falls etwas gefunden wird, kann man mit
Tools -> Save Scan Result
einen Log erstellen. Allerdings wird dort alles geloggt, was zu viel ist. Die Funde stehen normalerweise in den ersten paar Zeilen, poste diese bitte hier.

Zitat:

firefox neu installiert, läuft trotzdem nicht. IE auch nicht...

Da fällt mir ein - wie kommst du eigentlich ins Intenet?

Feitan · 20.01.2010, 21:16

Die reg-Datei will nicht.
"...\regi.reg kann nicht importiert werden. Die angegebene Datei ist keine Registrierungsdatei.
Registrierungsdateien können nur innerhalb des Registrierungseditors importiert werden."

Soll ich das andere Programm trotzdem schon ausführen?

Oh, das ist ja das Netbook, was befallen ist. Ich benutze grad einen anderen Rechner und ziehe die Programme und logs per USB-Stick hin und her... oder ist das irgendwie falsch?

Kos · 20.01.2010, 22:22

Hech, ich hab's irgendwie mit diesen .reg Dateien. Im Anhang ist eine neue.

Zitat:

oder ist das irgendwie falsch?

Passt schon

Feitan · 20.01.2010, 23:49

Das sind dann die [B]-Dateien?

Code:

ATTFilter

Prevx Scan Log - Version v3.0.5.50
Log Generated: 20/1/2010 23:43, Type: 0,1
Windows XP Home Service Pack 3 (Build 2600) 32bit|1031
Hostname: NAME-V5T2TIMFKD
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Wed 2010-01-20 23:42:04 Westeuropäische Normalzeit. Number of Scans: 1. Last Scan Duration: 13 minutes 10 seconds.
[B] c:\dokumente und einstellungen\gina\desktop\microsoft office 2007 portable german\microsoft office word 2007.exe	[PX5: A1C468BDE7F3AB0AD75D00C7B027FA009BFE29FF]	Malware Group: High Risk Cloaked Malware
[B] c:\dokumente und einstellungen\gina\desktop\microsoft office 2007 portable german\microsoft office picture manager.exe	[PX5: 6CC4FB33D537533D8FD00006D5E61E00BDEEC5E3]	Malware Group: High Risk Cloaked Malware

Kos · 21.01.2010, 00:00

Wenn es sonst nichts angezeigt wurde, nachdem der Scan fertig war, dann sind sie es.

Lade bitte diese zwei Dateien bei VirusTotal hoch, und poste die Links zu den Ergebnissen. Sieht mir so ein bisschen nach falschen Alarmen aus...

Kos · 21.01.2010, 11:28

Und benenne die Dateien bitte um, bevor du sie auf den anderen Rechner schleppst, also z.B. microsoft office word 2007.exe.vir

Feitan · 21.01.2010, 17:36

So, hab die direkt vom USB-Stick geladen..

http://www.virustotal.com/de/analisis/d945ea6b5339e99f0a5c2eba681e2f59bfbf6a35271e4fb76019efbdad639aea-1258525339

http://www.virustotal.com/de/analisis/f2aa639ee567476f3eb9ba0d6da92cd662f3fc531e524ef11fa0082a0b03f998-1258525357

Kos · 21.01.2010, 18:44

Hm, ich habe in der Zwischenzeit "microsoft office 2007 portable" bei google eingegeben - warez-seiten, wohin das Auge blickt

Deswegen bin ich von Virustotal noch nicht ganz überzeugt. Lade die beiden Dateien noch bei ThreatExpert hoch.
Submit Sample -> Datei auswählen (File to submit) -> Trage deine E-Mail-Adresse ein (ist keine Registrierung, die ist nicht erforderlich) -> Terms und Coditions abhaken -> Submit
In etwa 10 Minuten wirst du per E-Mail einen Link zum Analyseergebnis erhalten, poste diesen hier. Naja, das Ganze dann halt bei beiden Dateien, also zwei Berichte.
Außerdem:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! (In diesem Fall wurde es mir per PM von einem Kompetenzler empfohlen, also keine Sorge )
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Feitan · 21.01.2010, 20:02

edit: Ach ja, Microsoft Office hatte ich von nem Kumpel, weil ich den Picture Manager wiederhaben wollte.

Die Links:

http://www.threatexpert.com/report.a...5eb4a9d9438970

http://www.threatexpert.com/report.a...9d944984e6b371

Aber ich hab grad Mist gebaut.. ComboFix gestartet, als das Internet noch aus war, also wurde die Wiederherstellungskonsole nicht heruntergeladen. Ich dachte mir, ich mach dann 2 Durchläufe, so dass die beim 2. Mal runtergeladen wird, weil ich nicht wusste, ob ich ComboFix einfach so stoppen kann. Aber jetzt hat der 2. Durchlauf, bei dem was gelöscht wurde, das log des ersten überschrieben... Kann ich das irgendwie zurückkriegen?

Hier ist jedenfalls das 2.:

Code:

ATTFilter

ComboFix 10-01-20.07 - Gina 21.01.2010  19:48:09.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.600 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Gina\Desktop\ComFi.exe
AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Personal Firewall *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.

(((((((((((((((((((((((   Dateien erstellt von 2009-12-21 bis 2010-01-21  ))))))))))))))))))))))))))))))
.

2010-01-19 21:19 . 2010-01-19 21:19	--------	d-----w-	c:\windows\ERUNT
2010-01-19 21:16 . 2010-01-20 19:14	--------	d-----w-	C:\SDFix
2010-01-18 20:00 . 2009-11-04 15:54	79816	----a-w-	c:\windows\system32\drivers\mfeavfk.sys
2010-01-18 20:00 . 2009-11-04 15:54	40552	----a-w-	c:\windows\system32\drivers\mfesmfk.sys
2010-01-18 20:00 . 2009-11-04 15:54	35272	----a-w-	c:\windows\system32\drivers\mfebopk.sys
2010-01-18 20:00 . 2009-07-16 11:32	120136	----a-w-	c:\windows\system32\drivers\Mpfp.sys
2010-01-18 13:41 . 2008-04-14 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-01-16 23:49 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2010-01-16 23:49 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-01-16 22:56 . 2010-01-16 22:56	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Malwarebytes
2010-01-16 22:55 . 2010-01-16 22:55	--------	d-----w-	C:\WinSetupFromUSB
2010-01-16 21:13 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-16 19:29 . 2010-01-16 19:39	--------	d-----w-	C:\i386
2010-01-16 19:22 . 2010-01-16 20:20	--------	d-----w-	C:\pebuilder3110a
2010-01-16 18:17 . 2010-01-16 18:18	--------	d-----w-	C:\WINXP
2010-01-16 14:09 . 2010-01-16 14:09	--------	d-----w-	c:\programme\trend micro
2010-01-16 14:09 . 2010-01-16 14:14	--------	d-----w-	C:\rsit
2010-01-16 13:56 . 2010-01-16 13:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-16 13:56 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-16 13:43 . 2010-01-16 22:15	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-01-16 13:36 . 2010-01-16 13:37	--------	d-----w-	c:\programme\CCleaner
2010-01-15 23:00 . 2010-01-15 23:00	388096	----a-r-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-15 23:00 . 2010-01-15 23:00	--------	d-----w-	c:\programme\TrendMicro
2010-01-15 22:44 . 2010-01-18 20:00	--------	d-----w-	c:\programme\Gemeinsame Dateien\McAfee
2010-01-15 22:44 . 2010-01-15 22:55	--------	d-----w-	c:\programme\McAfee.com
2010-01-15 22:44 . 2010-01-18 21:33	--------	d-----w-	c:\programme\McAfee
2010-01-15 22:40 . 2009-11-04 15:53	34248	----a-w-	c:\windows\system32\drivers\mferkdk.sys
2010-01-15 00:11 . 2010-01-15 00:11	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000003800002i\wltuser.exe
2010-01-15 00:10 . 2010-01-15 00:10	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000009c00002i\IEXPLORE.EXE
2010-01-14 20:31 . 2010-01-14 20:31	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2010-01-14 18:46 . 2010-01-14 18:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2010-01-14 17:20 . 2010-01-21 18:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-01-12 22:18 . 2010-01-12 22:18	--------	d-----w-	c:\windows\Sun
2010-01-11 21:06 . 2010-01-11 21:05	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-01-11 21:05 . 2010-01-11 21:05	--------	d-----w-	c:\programme\Java
2010-01-11 21:04 . 2010-01-11 21:04	152576	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-11 21:04 . 2010-01-11 21:08	79488	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-25 21:43 . 2009-12-25 21:43	--------	d-----w-	c:\programme\TeTras

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 21:31 . 2009-05-12 20:38	71324	----a-w-	c:\windows\system32\perfc007.dat
2010-01-19 21:31 . 2009-05-12 20:38	406024	----a-w-	c:\windows\system32\perfh007.dat
2010-01-18 20:23 . 2009-06-23 16:24	--------	d-----w-	c:\programme\Microsoft Works
2010-01-17 21:31 . 2009-09-22 16:41	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Winamp
2010-01-15 00:49 . 2009-09-23 19:31	758	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\wklnhst.dat
2010-01-13 02:48 . 2009-09-22 23:14	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Skype
2010-01-13 02:47 . 2009-09-23 23:37	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\skypePM
2009-12-25 21:25 . 2009-12-10 19:08	--------	d-----w-	c:\programme\tetris 2oo5
2009-12-18 14:50 . 2009-10-14 10:46	--------	d-----w-	c:\programme\FunkLANSetupWinXP-Dateien
2009-12-18 03:17 . 2009-12-18 03:17	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Apple Computer
2009-12-18 03:15 . 2009-12-18 03:14	--------	d-----w-	c:\programme\QuickTime
2009-12-18 03:14 . 2009-12-18 03:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-18 03:13 . 2009-12-18 03:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-12-18 03:13 . 2009-12-18 03:13	--------	d-----w-	c:\programme\Apple Software Update
2009-12-18 03:13 . 2009-12-18 03:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-18 03:04 . 2009-09-22 23:56	--------	d-----w-	c:\programme\ICQ6.5
2009-12-14 21:20 . 2009-12-14 21:20	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\EeeStorageUploader
2009-12-13 02:07 . 2009-09-22 23:57	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\ICQ
2009-12-09 00:28 . 2009-12-08 21:05	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Audacity
2009-12-08 21:05 . 2009-12-08 21:05	--------	d-----w-	c:\programme\Audacity 1.3 Beta (Unicode)
2009-11-28 19:58 . 2009-11-28 19:58	--------	d-----w-	c:\programme\3DO
2009-11-25 10:19 . 2009-09-22 15:54	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-21 15:54 . 2009-05-12 20:38	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-09 16:32 . 2009-11-09 16:32	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000007100002i\SETUP.EXE
2009-11-09 16:32 . 2009-11-09 16:32	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE
2009-11-04 15:54 . 2009-11-04 15:54	214664	----a-w-	c:\windows\system32\drivers\mfehidk.sys
2009-11-01 21:19 . 2009-11-01 21:19	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000003400002i\dwwin.exe
2009-11-01 21:18 . 2009-11-01 21:18	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\30000000d900002i\DW20.EXE
2009-10-29 07:41 . 2009-05-12 20:38	832512	------w-	c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2009-05-12 20:38	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2009-05-12 20:38	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-26 20:49 . 2009-10-26 20:46	155501	----a-w-	c:\windows\HPHins15.dat
2009-10-14 10:46 . 2009-10-14 10:46	27960	----a-w-	c:\programme\FunkLANSetupWinXP.htm
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2005-09-23 05:28	270848	----a-w-	c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2005-09-23 05:28	270848	----a-w-	c:\windows\system32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eee Docking"="c:\programme\ASUS\Eee Docking\Eee Docking.exe" [2009-06-08 397312]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2009-04-16 630784]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2009-03-13 98304]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2009-04-16 118784]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"SynAsusAcpi"="c:\programme\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-07-09 3054136]
"LiveUpdate"="c:\programme\Asus\LiveUpdate\LiveUpdate.exe" [2009-08-27 735208]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"MacrokeyManager"="WTMKM.exe" [2008-07-30 1969824]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-11 149280]
"mcagent_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2009-10-29 1218008]
"McENUI"="c:\progra~1\McAfee\MHN\McENUI.exe" [2009-07-07 1176808]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
 SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [23.06.2009 17:35 54752]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01.06.2009 08:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01.06.2009 08:26 39040]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.09.2009 03:28 721904]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~1\mcafee\SITEAD~1\mcsacore.exe [18.01.2010 21:04 203280]
S2 WTService;WTService;c:\windows\system32\atwtusb.exe -s --> c:\windows\system32\atwtusb.exe -s [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23.06.2009 17:21 1684736]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
.
Inhalt des "geplante Tasks" Ordners

2010-01-18 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-01-18 11:22]

2010-01-18 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-01-18 11:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: {1ED8E5FC-CE16-4318-87FE-A83D477CEB88} = 62.220.18.38 89.246.64.38
FF - ProfilePath - c:\dokumente und einstellungen\Gina\Anwendungsdaten\Mozilla\Firefox\Profiles\rcvhocwy.default\
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-21 19:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-21  19:54:01
ComboFix-quarantined-files.txt  2010-01-21 18:53
ComboFix2.txt  2010-01-21 18:42

Vor Suchlauf: 16 Verzeichnis(se), 33.314.394.112 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 33.302.773.760 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 9336F3714DB8F5582D986CEC4B499014

Kos · 21.01.2010, 20:43

Sieh mal bitte unter C:\Qoobox nach. Da sollte das alte Log eigentlich zu finden sein.

Und lösche diesen "Microsoft Office portable", den gesamten Ordner - es ist nicht vertrauenswürdig. Wird ja wohl ein Freeware-Programm zu finden sein, das die gleichen Funktionen erfüllt, wie der Picture Manager.

Feitan · 21.01.2010, 23:39

Ja, da war's.

Okay, hier:

Code:

ATTFilter

ComboFix 10-01-20.07 - Gina 21.01.2010  19:33:41.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.586 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Gina\Desktop\ComFi.exe
AV: McAfee VirusScan *On-access scanning disabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Personal Firewall *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
 * Im Speicher befindliches AV aktiv.


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Gina\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\Gina\Anwendungsdaten\Desktopicon\uninst.exe
c:\recycler\S-1-5-21-773242005-1520849964-2458437661-1003
c:\windows\system32\AutoRun.inf
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-21 bis 2010-01-21  ))))))))))))))))))))))))))))))
.

2010-01-19 21:19 . 2010-01-19 21:19	--------	d-----w-	c:\windows\ERUNT
2010-01-19 21:16 . 2010-01-20 19:14	--------	d-----w-	C:\SDFix
2010-01-18 20:00 . 2009-11-04 15:54	79816	----a-w-	c:\windows\system32\drivers\mfeavfk.sys
2010-01-18 20:00 . 2009-11-04 15:54	40552	----a-w-	c:\windows\system32\drivers\mfesmfk.sys
2010-01-18 20:00 . 2009-11-04 15:54	35272	----a-w-	c:\windows\system32\drivers\mfebopk.sys
2010-01-18 20:00 . 2009-07-16 11:32	120136	----a-w-	c:\windows\system32\drivers\Mpfp.sys
2010-01-18 13:41 . 2008-04-14 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2010-01-16 23:49 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2010-01-16 23:49 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-01-16 22:56 . 2010-01-16 22:56	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Malwarebytes
2010-01-16 22:55 . 2010-01-16 22:55	--------	d-----w-	C:\WinSetupFromUSB
2010-01-16 21:13 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-16 19:29 . 2010-01-16 19:39	--------	d-----w-	C:\i386
2010-01-16 19:22 . 2010-01-16 20:20	--------	d-----w-	C:\pebuilder3110a
2010-01-16 18:17 . 2010-01-16 18:18	--------	d-----w-	C:\WINXP
2010-01-16 14:09 . 2010-01-16 14:09	--------	d-----w-	c:\programme\trend micro
2010-01-16 14:09 . 2010-01-16 14:14	--------	d-----w-	C:\rsit
2010-01-16 13:56 . 2010-01-16 13:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-16 13:56 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-16 13:43 . 2010-01-16 22:15	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-01-16 13:36 . 2010-01-16 13:37	--------	d-----w-	c:\programme\CCleaner
2010-01-15 23:00 . 2010-01-15 23:00	388096	----a-r-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-15 23:00 . 2010-01-15 23:00	--------	d-----w-	c:\programme\TrendMicro
2010-01-15 22:44 . 2010-01-18 20:00	--------	d-----w-	c:\programme\Gemeinsame Dateien\McAfee
2010-01-15 22:44 . 2010-01-15 22:55	--------	d-----w-	c:\programme\McAfee.com
2010-01-15 22:44 . 2010-01-18 21:33	--------	d-----w-	c:\programme\McAfee
2010-01-15 22:40 . 2009-11-04 15:53	34248	----a-w-	c:\windows\system32\drivers\mferkdk.sys
2010-01-15 00:11 . 2010-01-15 00:11	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000003800002i\wltuser.exe
2010-01-15 00:10 . 2010-01-15 00:10	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000009c00002i\IEXPLORE.EXE
2010-01-14 20:31 . 2010-01-14 20:31	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2010-01-14 18:46 . 2010-01-14 18:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2010-01-14 17:20 . 2010-01-18 20:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-01-12 22:18 . 2010-01-12 22:18	--------	d-----w-	c:\windows\Sun
2010-01-11 21:06 . 2010-01-11 21:05	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-01-11 21:05 . 2010-01-11 21:05	--------	d-----w-	c:\programme\Java
2010-01-11 21:04 . 2010-01-11 21:04	152576	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-11 21:04 . 2010-01-11 21:08	79488	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-25 21:43 . 2009-12-25 21:43	--------	d-----w-	c:\programme\TeTras

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 21:31 . 2009-05-12 20:38	71324	----a-w-	c:\windows\system32\perfc007.dat
2010-01-19 21:31 . 2009-05-12 20:38	406024	----a-w-	c:\windows\system32\perfh007.dat
2010-01-18 20:23 . 2009-06-23 16:24	--------	d-----w-	c:\programme\Microsoft Works
2010-01-17 21:31 . 2009-09-22 16:41	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Winamp
2010-01-15 00:49 . 2009-09-23 19:31	758	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\wklnhst.dat
2010-01-13 02:48 . 2009-09-22 23:14	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Skype
2010-01-13 02:47 . 2009-09-23 23:37	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\skypePM
2009-12-25 21:25 . 2009-12-10 19:08	--------	d-----w-	c:\programme\tetris 2oo5
2009-12-18 14:50 . 2009-10-14 10:46	--------	d-----w-	c:\programme\FunkLANSetupWinXP-Dateien
2009-12-18 03:17 . 2009-12-18 03:17	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Apple Computer
2009-12-18 03:15 . 2009-12-18 03:14	--------	d-----w-	c:\programme\QuickTime
2009-12-18 03:14 . 2009-12-18 03:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-18 03:13 . 2009-12-18 03:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-12-18 03:13 . 2009-12-18 03:13	--------	d-----w-	c:\programme\Apple Software Update
2009-12-18 03:13 . 2009-12-18 03:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-18 03:04 . 2009-09-22 23:56	--------	d-----w-	c:\programme\ICQ6.5
2009-12-14 21:20 . 2009-12-14 21:20	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\EeeStorageUploader
2009-12-13 02:07 . 2009-09-22 23:57	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\ICQ
2009-12-09 00:28 . 2009-12-08 21:05	--------	d-----w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Audacity
2009-12-08 21:05 . 2009-12-08 21:05	--------	d-----w-	c:\programme\Audacity 1.3 Beta (Unicode)
2009-11-28 19:58 . 2009-11-28 19:58	--------	d-----w-	c:\programme\3DO
2009-11-25 10:19 . 2009-09-22 15:54	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-21 15:54 . 2009-05-12 20:38	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-09 16:32 . 2009-11-09 16:32	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000007100002i\SETUP.EXE
2009-11-09 16:32 . 2009-11-09 16:32	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE
2009-11-04 15:54 . 2009-11-04 15:54	214664	----a-w-	c:\windows\system32\drivers\mfehidk.sys
2009-11-01 21:19 . 2009-11-01 21:19	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000003400002i\dwwin.exe
2009-11-01 21:18 . 2009-11-01 21:18	53760	----a-w-	c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\30000000d900002i\DW20.EXE
2009-10-29 07:41 . 2009-05-12 20:38	832512	----a-w-	c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2009-05-12 20:38	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2009-05-12 20:38	17408	----a-w-	c:\windows\system32\corpol.dll
2009-10-26 20:49 . 2009-10-26 20:46	155501	----a-w-	c:\windows\HPHins15.dat
2009-10-14 10:46 . 2009-10-14 10:46	27960	----a-w-	c:\programme\FunkLANSetupWinXP.htm
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2005-09-23 05:28	270848	----a-w-	c:\windows\system32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2005-09-23 05:28	270848	----a-w-	c:\windows\system32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eee Docking"="c:\programme\ASUS\Eee Docking\Eee Docking.exe" [2009-06-08 397312]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2009-04-16 630784]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2009-03-13 98304]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2009-04-16 118784]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-27 17567744]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"SynAsusAcpi"="c:\programme\Synaptics\SynTP\SynAsusAcpi.exe" [2009-03-06 79144]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-07-09 3054136]
"LiveUpdate"="c:\programme\Asus\LiveUpdate\LiveUpdate.exe" [2009-08-27 735208]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"MacrokeyManager"="WTMKM.exe" [2008-07-30 1969824]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-11 149280]
"mcagent_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2009-10-29 1218008]
"McENUI"="c:\progra~1\McAfee\MHN\McENUI.exe" [2009-07-07 1176808]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
 SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-6-23 376832]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-2 604776]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [23.06.2009 17:35 54752]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [01.06.2009 08:26 38912]
R3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [01.06.2009 08:26 39040]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.09.2009 03:28 721904]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~1\mcafee\SITEAD~1\mcsacore.exe [18.01.2010 21:04 203280]
S2 WTService;WTService;c:\windows\system32\atwtusb.exe -s --> c:\windows\system32\atwtusb.exe -s [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23.06.2009 17:21 1684736]
S3 fsssvc;Windows Live Family Safety-Dienst;c:\programme\Windows Live\Family Safety\fsssvc.exe [05.08.2009 21:48 704864]
.
Inhalt des "geplante Tasks" Ordners

2010-01-18 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-01-18 11:22]

2010-01-18 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-01-18 11:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Gina\Anwendungsdaten\Mozilla\Firefox\Profiles\rcvhocwy.default\
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
AddRemove-eBay Icon - c:\dokumente und einstellungen\Gina\Anwendungsdaten\Desktopicon\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-21 19:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-21  19:42:29
ComboFix-quarantined-files.txt  2010-01-21 18:42

Vor Suchlauf: 15 Verzeichnis(se), 33.230.254.080 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 33.320.755.200 Bytes frei

- - End Of File - - DA62243B3F181D9C64369969480B299C

Und der Microsoft Office-Ordner ist auch gelöscht.

Kos · 22.01.2010, 11:52

Na gut, hier ist etwas Arbeit für dich: diese Dateien bitte bei VirusTotal überprüfen:

Code:

ATTFilter

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000003800002i\wltuser.exe

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\4000009c00002i\IEXPLORE.EXE

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000007100002i\SETUP.EXE

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\300000003400002i\dwwin.exe

c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall\Microsoft Office Enterprise 2007\30000000d900002i\DW20.EXE

c:\windows\HPHins15.dat

c:\programme\FunkLANSetupWinXP.htm

Links posten, falls etwas gefunden wurde.

Außerdem lade dir bitte SystemScan, speichere es auf dem Desktop -> Mit Doppelklick ausführen
Häkchen beim Disclaimer -> Proceed
Alle Häkchen setzen (Recent files, days old 60) -> Scan Now

Es wird eine Datei report.txt erstellt, diese bitte als Anhang posten.

Feitan · 23.01.2010, 00:31

Okay..
http://www.virustotal.com/de/analisis/0ae3529c265a04c95917684b1eb1819c9777ae96976a8117852c60307238bb1e-1264199412

http://www.virustotal.com/de/analisis/5c0037c120777fd5a7b5a2a50ca1334ec563f7df270507e355c7b76c743f5570-1264199594

http://www.virustotal.com/de/analisis/b3e4c8c895cc226a5f8518630fbd0b135d0438bb07da01c6834b06799d404f56-1261595631

http://www.virustotal.com/de/analisis/6960f605b14151db137fedd922bda2c992e1236a34e86e5528b4259c60afeaef-1241094881

http://www.virustotal.com/de/analisis/2a940d12f955c4cd4a960e92e7913487b78f1c3141ac9146c8bb660e0c2e82f8-1241036868

http://www.virustotal.com/de/analisis/1218a330f0940c4c6a9c0ecf24f317f56441fa0a7216024fbab5cdfd566c8f0f-1264199489

Zu iexplorer.exe konnt ich auf dem USB-Stick nur eine Verknüpfung erstellen, die ich nicht hochladen konnte.
Und c:\programme\FunkLANSetupWinXP.htm ist eine gespeicherte Internetseite, da gehört ein ganzer Ordner mit Dateien zu, soll ich die alle da hochladen?

Das log war zu groß um es anzuhängen, ich hab's hochgeladen:

http://www.file-upload.net/download-2187209/reportsys.txt.html

Kos · 24.01.2010, 12:14

Hm, nichts Eindeutiges, aber auch nicht wirklich beruhigend, töten wir es:

Avenger

a) Deaktiviere den Hintergrundwächter vom Virenscanner.

b) Stöpsele alle externen Datenträger vom Rechner ab.

c.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

d.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

e.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

folders to delete:
c:\dokumente und einstellungen\Gina\Anwendungsdaten\Thinstall

files to delete:
c:\windows\HPHins15.dat

f.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

g.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

h.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

i.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Zitat:

Und c:\programme\FunkLANSetupWinXP.htm ist eine gespeicherte Internetseite, da gehört ein ganzer Ordner mit Dateien zu, soll ich die alle da hochladen?

Hast du sie gespeichert? Vertrauenswürdig? Im Zweifel löschen.

So, das Log vom SystemScan schaue ich mir noch an, das dauert etwas...

Firefox leitet ungewollt um, Antivirenprogramme werden blockiert

Plagegeister aller Art und deren Bekämpfung: Firefox leitet ungewollt um, Antivirenprogramme werden blockiert