ComboFix 10-05-19.02 - Customer 19.05.2010 22:17:14.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.732 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Customer\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Customer\Desktop\CFScript.txt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\system volume information\_restore{d5fffa500b1b}

.
((((((((((((((((((((((( Dateien erstellt von 2010-04-19 bis 2010-05-19 ))))))))))))))))))))))))))))))
.

2010-05-19 12:42 . 2010-05-19 12:42 -------- d-----w- c:\programme\VirusTotalUploader2
2010-05-18 16:33 . 2010-05-19 08:17 -------- d-----w- c:\windows\system32\(null)
2010-05-18 11:54 . 2010-05-18 11:54 -------- d-----w- C:\_OTL
2010-05-18 10:08 . 2008-04-14 02:22 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-05-18 09:36 . 2010-05-18 09:36 -------- d-----w- c:\programme\MSXML 4.0
2010-05-18 09:14 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-05-18 09:12 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 09:11 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-05-18 09:10 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
2010-05-18 09:08 . 2009-10-15 16:28 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2010-05-18 09:08 . 2009-10-15 16:28 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2010-05-18 09:08 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-05-18 09:01 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2010-05-18 08:51 . 2009-07-31 04:32 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
2010-05-18 08:51 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
2010-05-18 08:51 . 2008-05-01 14:34 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2010-05-18 08:49 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\dllcache\bthport.sys
2010-05-18 08:49 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
2010-05-18 07:34 . 2010-05-18 07:34 -------- d-----w- c:\programme\Intel
2010-05-18 07:32 . 2005-03-28 07:19 220992 ----a-w- c:\windows\system32\drivers\smwdm.sys
2010-05-18 07:32 . 2005-03-04 17:53 127872 ----a-w- c:\windows\system32\drivers\aeaudio.sys
2010-05-18 07:32 . 2001-09-11 12:20 30208 ----a-w- c:\windows\system32\wdmioctl.dll
2010-05-18 07:32 . 2001-09-11 12:20 1285632 ----a-w- c:\windows\system32\SMMedia.dll
2010-05-18 07:32 . 2010-05-18 07:32 -------- d-----w- c:\programme\Analog Devices
2010-05-18 07:32 . 2004-12-08 14:16 49152 ----a-w- c:\windows\system32\DSndUp.exe
2010-05-18 07:32 . 2002-04-17 12:05 45056 ----a-w- c:\windows\system32\CleanUp.exe
2010-05-18 07:32 . 2009-11-18 12:04 35176 ----a-w- c:\windows\system32\tpinspm.dll
2010-05-18 07:14 . 2010-05-18 07:15 -------- d-----w- c:\programme\Lenovo
2010-05-18 07:14 . 2010-05-18 07:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Lenovo
2010-05-18 07:14 . 2007-02-19 05:56 21376 ----a-w- c:\windows\system32\drivers\psadd.sys
2010-05-17 21:11 . 1999-05-28 08:33 21468 ----a-w- c:\windows\kill.exe
2010-05-17 15:00 . 2010-05-17 15:00 63488 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-17 15:00 . 2010-05-17 15:00 52224 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-05-17 15:00 . 2010-05-17 15:00 117760 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-17 14:59 . 2010-05-17 14:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-17 13:44 . 2010-05-17 21:13 -------- d-----w- c:\programme\Unlocker
2010-05-17 13:18 . 2010-05-17 13:18 -------- d--h--w- c:\windows\PIF
2010-05-17 07:25 . 2010-05-17 07:25 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2010-05-17 07:04 . 2010-05-17 07:13 -------- d-----w- c:\windows\SxsCaPendDel
2010-05-17 07:01 . 2010-05-17 07:01 -------- d-----w- c:\programme\CCleaner
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Malwarebytes
2010-05-17 06:41 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-17 06:41 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-15 20:58 . 2010-05-15 20:58 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-05-14 23:59 . 2010-05-17 06:57 -------- d---a-w- C:\Settings
2010-05-05 14:21 . 2010-05-05 14:21 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-05-02 20:01 . 2010-05-15 00:19 -------- d-----w- c:\programme\IndieVolume

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 15:55 . 1979-12-31 22:00 72886 ----a-w- c:\windows\system32\perfc007.dat
2010-05-19 15:55 . 1979-12-31 22:00 411840 ----a-w- c:\windows\system32\perfh007.dat
2010-05-18 11:57 . 2009-08-23 09:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-18 07:33 . 2006-06-21 06:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-18 07:32 . 2006-06-21 06:41 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-05-18 06:59 . 2006-08-02 13:39 20392 ----a-w- c:\dokumente und einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-17 21:37 . 2009-08-23 09:51 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-05-17 14:58 . 2010-05-17 14:58 503808 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\msvcp71.dll
2010-05-17 14:58 . 2010-05-17 14:58 499712 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\jmc.dll
2010-05-17 14:58 . 2010-05-17 14:58 348160 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\msvcr71.dll
2010-05-17 14:58 . 2010-05-17 14:58 61440 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-69d473ab-n\decora-sse.dll
2010-05-17 14:58 . 2010-05-17 14:58 12800 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-69d473ab-n\decora-d3d.dll
2010-05-17 14:58 . 2009-10-10 17:08 -------- d-----w- c:\programme\Java
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-05-17 07:13 . 2009-08-26 19:13 -------- d-----w- c:\programme\DivX
2010-05-17 07:04 . 2009-08-26 19:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-05-15 00:24 . 1979-12-31 22:00 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-09 22:23 . 2009-10-31 14:02 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\vlc
2010-05-02 17:20 . 2010-03-25 11:22 -------- d-----w- c:\programme\Spiele
2010-04-16 18:54 . 2010-04-16 18:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2010-04-12 15:29 . 2010-05-17 14:58 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-10 21:21 . 2009-10-31 14:06 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\dvdcss
2010-04-10 17:18 . 2010-04-10 17:18 -------- d--h--r- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SecuROM
2010-04-06 12:17 . 2010-04-06 12:17 108768 ----a-w- c:\windows\system32\drivers\ACEDRV08.sys
2010-03-31 01:58 . 2009-08-26 19:13 125424 ------w- c:\windows\system32\pxinsi64.exe
2010-03-31 01:58 . 2009-08-26 19:13 123888 ------w- c:\windows\system32\pxcpyi64.exe
2010-03-31 01:58 . 2009-08-15 23:25 133616 ------w- c:\windows\system32\pxafs.dll
2010-03-27 11:22 . 2010-03-25 12:42 737280 ----a-w- c:\windows\iun6002.exe
2010-03-27 11:00 . 2009-10-01 21:21 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-26 13:58 . 2009-11-19 19:12 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-03-26 13:38 . 2010-03-26 13:38 451072 ----a-w- c:\windows\Radeon Omega Drivers v3.8.252 Uninstall.exe
2010-03-26 13:21 . 2010-03-26 13:21 -------- d-----w- c:\programme\ATI Technologies
2010-03-26 13:08 . 2010-03-26 13:08 4396 ----a-w- c:\programme\DRIVEINSTALL.INI
2010-03-25 11:24 . 2010-03-25 11:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Super X Studios
2010-03-25 10:18 . 2010-03-25 10:18 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Microsoft Games
2010-03-25 10:18 . 2010-03-25 10:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Games
2010-03-09 11:09 . 1979-12-31 22:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-02-26 05:41 . 1979-12-31 22:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 05:41 . 2009-08-15 22:02 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 13:11 . 1979-12-31 22:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2008-04-14 02:22 . 2004-08-03 22:58 1695232 --sha-w- c:\windows\ServicePackFiles\i386\msmsgs.exe
.

------- Sigcheck -------

[-] 2008-04-14 . 420BE00D1F13A30335AA92DE3F647E98 . 979456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 420BE00D1F13A30335AA92DE3F647E98 . 979456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2004-08-03 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-05-18_13.05.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-19 18:22 . 2010-05-19 18:22 16384 c:\windows\Temp\Perflib_Perfdata_730.dat
+ 2010-05-19 12:32 . 2003-01-29 15:14 65536 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPFcs.dll
+ 2010-05-19 12:32 . 2003-01-29 15:07 45056 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPCOM.dll
+ 2010-05-19 12:32 . 2003-01-29 15:19 77824 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPCoI.dll
+ 2010-05-19 12:32 . 2003-01-29 15:08 69632 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynCOM.dll
+ 2010-05-19 12:32 . 2003-01-29 15:20 65536 c:\windows\system32\ReinstallBackups\0016\DriverFiles\InstNT.exe
+ 2010-05-19 12:32 . 2008-04-14 01:49 23552 c:\windows\system32\ReinstallBackups\0016\DriverFiles\i386\mouclass.sys
+ 2010-05-19 12:32 . 2008-04-14 01:55 52992 c:\windows\system32\ReinstallBackups\0016\DriverFiles\i386\i8042prt.sys
+ 1979-12-31 22:00 . 2010-05-19 15:55 60114 c:\windows\system32\perfc009.dat
- 1979-12-31 22:00 . 2010-05-18 11:54 60114 c:\windows\system32\perfc009.dat
+ 2010-05-19 12:32 . 2003-01-29 15:15 212992 c:\windows\system32\ReinstallBackups\0016\DriverFiles\Tutorial.exe
+ 2010-05-19 12:32 . 2003-01-29 15:01 159744 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynZMetr.exe
+ 2010-05-19 12:32 . 2003-01-29 15:14 126976 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPLpr.exe
+ 2010-05-19 12:32 . 2003-01-29 15:14 573440 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPEnh.exe
+ 2010-05-19 12:32 . 2003-01-29 15:07 110592 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPAPI.dll
+ 2010-05-19 12:32 . 2003-01-29 15:04 264848 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTP.sys
+ 2010-05-19 12:32 . 2003-01-29 15:00 147456 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynMood.exe
+ 2010-05-19 12:32 . 2003-01-29 15:16 344064 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynISDLL.dll
+ 2010-05-19 12:32 . 2003-01-29 15:08 102400 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynCtrl.dll
- 1979-12-31 22:00 . 2010-05-18 11:54 397894 c:\windows\system32\perfh009.dat
+ 1979-12-31 22:00 . 2010-05-19 15:55 397894 c:\windows\system32\perfh009.dat
+ 2010-05-19 12:32 . 2003-01-29 15:11 4702208 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPCpl.exe
+ 2010-05-19 12:32 . 2003-01-29 15:09 4829184 c:\windows\system32\ReinstallBackups\0016\DriverFiles\SynTPCpl.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3TRAY2"="S3Tray2.exe" [2002-07-15 69632]
"AtiPTA"="atiptaxx.exe" [2004-08-04 339968]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

c:\dokumente und einstellungen\Customer\Startmen�\Programme\Autostart\
RocketDock.lnk - c:\programme\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2010-04-23 20:10 1668920 ----a-w- c:\programme\CCleaner\CCleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"srservice"=2 (0x2)
"TVT Scheduler"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [06.05.2010 17:10 68168]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [13.04.2008 10:30 76800]
R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [06.04.2010 14:17 108768]
S3 PCDRDRV;Pcdr Helper Driver;\??\c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys --> c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.mini20.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {F7783F43-720A-4180-90A6-0C9B79C1C74B} = 192.168.178.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://web.de
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-19 22:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1857643510-3639526926-2790870431-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:57,5d,3a,7c,85,8a,1d,a7,50,bf,d9,27,b3,9a,35,ad,d7,33,c9,ab,c2,19,14,
82,f8,4e,00,9d,ca,6e,7f,1b,ba,cd,52,5a,cd,0e,af,35,56,bd,c3,49,69,15,d1,87,\
"??"=hex:94,d4,39,4d,3a,2a,a0,1c,ff,80,f2,70,67,59,72,0d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'explorer.exe'(2560)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-05-19 22:23:04
ComboFix-quarantined-files.txt 2010-05-19 20:23
ComboFix2.txt 2010-05-18 16:41
ComboFix3.txt 2010-05-18 13:09

Vor Suchlauf: 7 Verzeichnis(se), 33.432.711.168 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 33.413.619.712 Bytes frei

Current=6 Default=6 Failed=5 LastKnownGood=7 Sets=1,2,3,4,5,6,7
- - End Of File - - F1C0FCFB94AD67E5544D7A9A8B3AD150

Hi,
habe eben mal nachgeschaut: Das gelöschte Verzeichnis mit den beiden Schad-Dateien ist immer noch da.

Systemscan mit OTLPE

• Lade Dir zuerst ISOBurner herunter und installiere es.
• Lade Dir dann OTLPE.iso von Oldtimer und brenne sie per Imagebrennfunktion auf eine leere CD-R oder CD-RW
• Bei Verwendung von ISOBurner reicht ein Doppelklick auf OTLPE.iso.
• Boote nun den infizierten Rechner von der OTLPE-CD (evtl. Reihenfolge im BIOS umstellen).
• Dein System sollte nun einen REATOGO-X-PE Desktop anzeigen.
• Starte OTLPE mit einem Doppelklick auf das OTLPE Icon.
• "Do you wish to load the remote registry" und "Do you wish to load remote user profile(s) for scanning" mit Yes beantworten.
• Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
• Im Block "Drivers" Use SafeList auswählen und dann mit Run Scan den Scan starten.
• Nach dem Scan wird ein Logfile erstellt (C:\OTL.txt)
• Kopiere dieses auf einen USB-Stick und poste es hier.

Geht erst heute abend. Ich habe gerade keine Rohlinge. Bis hierher zwischendurch noch mal ein großes

See you

Hi resistance,

bist du noch da?

lg myrtille

Ja, bin noch da.
Am WE war so schönes Wetter, da habe ich den Virus mal Virus sein lassen.
Einen Rohling habe ich jetzt. Wenn nichts dagegen spricht, mache ich dann mal den Scan von CD.
Oder schlägst Du etwas anderes vor, myrtille?

Gruß
Jens

Hi,

versuch bitte erstmal folgendes:

Starte deinen Rechner neu und während des Hochfahrens solltest du die Auswahl zwischen der Recovery Console und deinem normalen Betriebssystem haben. Wähle die Recovery Console.
Du wirst dann gebeten deine Windowsinstallation auszuwählen, tue dies und es sollte sich eine Kommandozeile öffnen in der:
C:\windows: > steht.

Gebe dann fixmbr ein. Sag Bescheid falls du eine Warnung bekommst.
Falls du keine Warnung bekommst, gebe danach exit ein um die Recovery Console zu verlassen und normal neu zu booten.

Überprüfe dann ob die Prozesse svchost.exe und smss.exe noch in der Systemwiederherstellung laufen.

lg myrtille

Zitat:

Blöd ist es wohl nur für diejenigen, die einen manuell angepaßten MBR haben, GRUB
Vielleicht kann einer eine Lösung dafür stricken?

Mal so als Ansatz, hört sich an, als wenn Du eine Dual-Boot-Umgebung mit Windows und Linux hast:
- mit fixmbr in der Windows-Wiederherstellungskonsole den MBR neu schreiben
- da Linux dann nicht mehr booten kann: von Linux-Live-CD booten und den Bootloader wiedherstellen => GRUB ? Wiki ? ubuntuusers.de

Zitat:

Zitat von cosinus

Mal so als Ansatz, hört sich an, als wenn Du eine Dual-Boot-Umgebung mit Windows und Linux hast:
- mit fixmbr in der Windows-Wiederherstellungskonsole den MBR neu schreiben
- da Linux dann nicht mehr booten kann: von Linux-Live-CD booten und den Bootloader wiedherstellen => GRUB ? Wiki ? ubuntuusers.de

Nein, ich habe das Problem nicht, weil dieser Rechner nur zwei Windowse hat, da war es kein Problem.

Da ich aber einen anderen Rechner habe, wo es genau so ist, kam mir die Frage wie es wohl da zu machen wäre für diejenigen, die eben einen veränderten MBR haben.

Ich würde es auch so machen wie Du vorschlägst und wer einen auf diese Art angepaßten Rechner hat, ist vermutlich auch in der Lage sein Linux wieder zum laufen zu bekommen. Ein sehr gutes Tool dafür (und für andere Bootprobleme), das mir schon oft geholfen hat, ist übrigens Supergrub (www.supergrubdisk.org), falls das irgendjemand noch nicht kennt.

Best,

tom

@TomZ

Schön, dass Dir geholfen werden konnte.
Sind die Dateien svchost.exe und smss.exe samt Verzeichnis von Deinem Rechner verschwunden?
Bei mir sind sie nämlich auch nach der Prozedur, die bei Dir zum Erfolg führte, noch da.

@myrtille

svchost.exe ist im Task-Manager 5 mal zu finden. Ich weiß allerdings nicht, ob und welche(r) davon virusbedingt sind/ist.
smss.exe taucht nur einmal auf, was ok sein dürfte, oder?

Gruß
Jens

Zitat:

Zitat von resistance01

Sind die Dateien svchost.exe und smss.exe samt Verzeichnis von Deinem Rechner verschwunden?
Bei mir sind sie nämlich auch nach der Prozedur, die bei Dir zum Erfolg führte, noch da.

Ich habe es so gemacht: Erst mit Malwarebytes gesucht und dann die Registryeinträge und Trojaner damit entfernt, aber vor dem notwendigen rebooten erst den Bootkit Remover laufen lassen.

Ich bin zwar kein Experte, aber ich reime es mir so zusammen: Malwarebytes kann zwar alles finden und entfernen, aber beim Booten wird der Trojaner per MBR immer wieder neu eingesetzt und das passiert nicht mehr, wenn man den MBR per Bootkit Remover zurücksetzt.

Zitat:

svchost.exe ist im Task-Manager 5 mal zu finden. Ich weiß allerdings nicht, ob und welche(r) davon virusbedingt sind/ist.
smss.exe taucht nur einmal auf, was ok sein dürfte, oder?

Bei mir ist svchost 8 mal da, smss.exe einmal.

Ich drück Dir die Daumen daß es klappt. Vielleicht kannst Du den MBR mit Bootkit Remover auslesen und die Experten hier können was dazu sagen?

Grüße,

tom

Zitat:

Zitat von resistance01

Bei mir sind sie nämlich auch nach der Prozedur, die bei Dir zum Erfolg führte, noch da.

Das sind ja auch Systemdateien in Windows\System32 !
Die müssen immer da sein, Du musst als prüfen, ob die schädlichen Dateien getarnt als svchost und smss in system volume information noch da sind bzw. nach dem Entfernen wieder da auftreten.

Zitat:

Zitat von cosinus

Das sind ja auch Systemdateien in Windows\System32 !
Die müssen immer da sein, Du musst als prüfen, ob die schädlichen Dateien getarnt als svchost und smss in system volume information noch da sind bzw. nach dem Entfernen wieder da auftreten.

Ich meine das seltsame Verzeichnis c:\system volume information\restore{...,
in dem die Virusdateien zu finden sind. Wenn das System bereinigt ist, müsste doch auch dies Verzeichnis zu entfernen sein. Es ist bei mir aber noch da, und ich habe keinen Zugriff darauf.

Nochmal: tauchen die Dateien svchost und smss innerhalb von system volume information auch nach dem Löschen immer wieder auf bei jedem Neustart des Rechners? Eigentlich ist das eine Folge des verkorksten MBR, und ein Fixmbr *sollte* eigentlich helfen - wenn es das nicht tat musst Du nochmal abwarten bis myrtille sich hier wieder meldet.

So,
das Teil ist weg. Ich glaube der remover hat es gebracht.
Das Verzeichnis war zwar noch da, aber leer, und es ließ sich mit unlocker
löschen. Ganz schön hartnäckig.

Ein riesengroßes an cosinus und myrtille. Ich spende was.

Beste Grüße
Jens