Anti Virenseiten und Microsoft Update blockiert

Stryder · 26.08.2010, 12:17

Hallo zusammen,

bisher hab ich meine Virenprobleme eigentlich immer durch Internetrecherche selber in den Griff bekommen. Diesmal bin ich aber leider bisher kläglich gescheitert.

Bei dem PC handelt es sich um meinen PC den ich im Auto eingebaut habe. Seit kurzem kann ich dort keine Windows Updates mehr herunterladen, da kein Zugriff auf jegliche Microsoft Seiten besteht. Bei dem Versuch den Virus zu entfernen ist dann auch aufgefallen das die meisten Anti Virus Internetseiten nicht funktionieren. HouseCall Online Scan usw.

Im Abgesicherten Modus gibt es keine Probleme. Dort kann ich alle Seiten aufrufen und Virenscans machen.

Hier einige Ergebnisse:

Gmer
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-25 12:59:01
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Stryder\LOKALE~1\Temp\kgtyipod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                         section is writeable [0xB7296380, 0x566445, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtQueryInformationProcess                        7C91D7FE 5 Bytes  JMP 02199DC2 
.text           C:\WINDOWS\System32\svchost.exe[1560] NETAPI32.dll!NetpwPathCanonicalize                         597DA3A9 5 Bytes  JMP 02199D62 
.text           C:\Programme\Emsisoft Anti-Malware\a2service.exe[1848] kernel32.dll!CreateThread + 1A            7C8106F1 4 Bytes  CALL 00455589 C:\Programme\Emsisoft Anti-Malware\a2service.exe (Emsisoft Anti-Malware Service/Emsi Software GmbH)
.text           C:\WINDOWS\system32\svchost.exe[1944] ntdll.dll!NtQueryInformationProcess                        7C91D7FE 5 Bytes  JMP 00829DC2 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00158322b874                      
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00158322b874 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----

--- --- ---

Antimalwarebytes

Zitat:

Log hatte ich nicht kopiert. Nur die gefunden Viren:
Trojan.Win32.VB!IK
Trojan.SuspectCRC!IK
(habe ich anschließend entfernen lassen)

Hijackthis hatte ich Online in den automatischen Überprüfer geschmissen. Da war nichts auffälliges zu erkennen.

Wäre toll wenn ihr mir helfen könntet und mir sagt was ihr vielleicht noch an Logs braucht?

Gruß und danke

markusg · 26.08.2010, 12:20

das HijackThis log bitte

Stryder · 26.08.2010, 12:25

Ok ich bin nochmal schnell nach draussen durch den Regen, aber hier ist das Logfile.

Der T-Online Proxy der da drin zu sehen ist war ein Versuch von mir das ganze umzuleiten... aber ist wieder deaktiviert worden.

[QUOTE]
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24:20, on 25.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Emsisoft Anti-Malware\a2service.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
C:\Programme\IVT Corporation\BlueSoleil\BsMobileCS.exe
C:\Programme\MWConn\UMTSGPRS.exe
C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
C:\Programme\Mobile Partner Manager\AssistantServices.exe
C:\Programme\TeamViewer\Version5\TeamViewer.exe
C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CrystalCPUID415\CrystalCPUID.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ClearTKHandle] C:\Programme\eGalaxTouch\ClearTKHandle.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BtTray] "C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CrystalCPUID.lnk = C:\Programme\CrystalCPUID415\CrystalCPUID.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Geräteerkennung) - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hxxp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1271618916843
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\skype4com.dll
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\Emsisoft Anti-Malware\a2service.exe
O23 - Service: BlueSoleilCS - IVT Corporation - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: BsHelpCS - IVT Corporation - C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: BsMobileCS - IVT Corporation - C:\Programme\IVT Corporation\BlueSoleil\BsMobileCS.exe
O23 - Service: MWconn_Internet (MWconn_Internet_0) - Markus B. Weber - C:\Programme\MWConn\UMTSGPRS.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: UI Assistant Service - Unknown owner - C:\Programme\Mobile Partner Manager\AssistantServices.exe

--
End of file - 5678 bytes

--- --- ---

markusg · 26.08.2010, 12:31

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Stryder · 26.08.2010, 12:41

OK hier ist die Logdatei von Combofix:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-25.01 - Stryder 25.08.2010  13:37:23.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1918.1487 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stryder\Desktop\ComboFix.exe
AV: Emsisoft Anti-Malware *On-access scanning enabled* (Outdated) {0F8591BB-342B-4493-91C3-4E948ED21255}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\aaxcgeh.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KCZJHNAW
-------\Legacy_VNGNRGFR
-------\Service_kczjhnaw
-------\Service_vngnrgfr


(((((((((((((((((((((((   Dateien erstellt von 2010-07-25 bis 2010-08-25  ))))))))))))))))))))))))))))))
.

2010-08-25 10:41 . 2010-08-25 10:41	--------	d-----w-	c:\programme\Trend Micro
2010-08-25 09:57 . 2010-08-25 09:57	--------	d-----w-	c:\dokumente und einstellungen\Stryder\Anwendungsdaten\Malwarebytes
2010-08-25 09:56 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-25 09:56 . 2010-08-25 09:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-25 09:56 . 2010-08-25 09:56	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-25 09:56 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-25 09:52 . 2010-08-25 09:52	--------	d-----w-	c:\windows\system32\Kaspersky Lab
2010-08-25 09:52 . 2010-08-25 09:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-25 09:37 . 2009-05-07 07:04	157712	----a-w-	c:\windows\system32\drivers\tmcomm.sys
2010-08-25 09:26 . 2010-08-25 10:21	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-08-25 09:04 . 2010-08-25 09:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-25 09:04 . 2010-08-25 09:04	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-08-25 08:34 . 2010-08-25 10:13	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2010-08-24 14:21 . 2010-08-24 14:21	3827929	----a-r-	C:\ComboFix.exe
2010-08-24 07:36 . 2008-02-19 16:13	199168	----a-r-	c:\windows\system32\fdco1.dll
2010-08-24 07:36 . 2008-01-29 10:37	54016	----a-r-	c:\windows\system32\drivers\NVENETFD.sys
2010-08-24 07:36 . 2008-03-06 15:23	442368	----a-w-	c:\windows\system32\nvunrm.exe
2010-08-24 07:36 . 2008-01-29 10:37	22016	----a-r-	c:\windows\system32\drivers\nvnetbus.sys
2010-08-24 07:36 . 2008-01-29 10:37	950272	----a-r-	c:\windows\system32\drivers\nvnrm.sys
2010-08-24 07:36 . 2008-01-29 10:36	9216	----a-r-	c:\windows\system32\bdco1.dll
2010-08-24 07:36 . 2008-01-29 10:13	35840	----a-r-	c:\windows\system32\nvconrm.dll
2010-08-24 07:31 . 2008-04-24 14:27	41984	----a-r-	c:\windows\system32\nvcohda.dll
2010-08-24 07:31 . 2008-04-24 14:27	442368	----a-w-	c:\windows\system32\nvuhda.exe
2010-08-24 07:31 . 2008-04-28 15:02	38176	----a-r-	c:\windows\system32\drivers\nvhda32.sys
2010-08-23 15:24 . 2008-11-07 16:55	16928	------w-	c:\windows\system32\spmsgXP_2k3.dll
2010-08-23 15:24 . 2010-08-23 15:24	--------	d-----w-	c:\windows\system32\LogFiles
2010-08-23 15:24 . 2010-08-23 15:24	--------	d-----w-	c:\windows\system32\drivers\UMDF
2010-08-23 15:24 . 2009-07-14 10:27	1461992	----a-w-	c:\windows\system32\WdfCoInstaller01009.dll
2010-08-23 15:24 . 2009-07-14 10:21	1837296	----a-w-	c:\windows\system32\WudfUpdate_01009.dll
2010-08-23 15:24 . 2009-07-14 04:25	851176	----a-w-	c:\windows\system32\WinUsbCoinstaller2.dll
2010-08-23 15:24 . 2010-08-23 15:24	--------	d-----w-	c:\programme\DigitalDevices
2010-08-23 15:24 . 2010-08-23 15:24	6048768	----a-w-	C:\DigitalDevices-USBDriver-1.0.3.30-x86.msi
2010-08-23 15:16 . 2010-08-23 15:16	937037	----a-w-	C:\CF3CarLCD_1.4.0.0.exe
2010-08-17 08:47 . 2010-08-17 08:47	--------	d-----w-	c:\dokumente und einstellungen\Stryder\Anwendungsdaten\TeamViewer
2010-08-17 08:47 . 2010-08-17 08:47	--------	d-----w-	c:\programme\TeamViewer
2010-08-11 08:25 . 2010-08-11 08:25	--------	d-----w-	c:\programme\Autoruns
2010-08-10 08:19 . 2010-08-17 14:11	--------	d-----w-	c:\programme\MWConn
2010-08-10 08:10 . 2009-10-29 17:28	9216	----a-w-	c:\windows\system32\drivers\massfilter.sys
2010-08-10 08:10 . 2009-10-29 17:28	105088	----a-w-	c:\windows\system32\drivers\ZTEusbser6k.sys
2010-08-10 08:10 . 2009-10-29 17:28	105088	----a-w-	c:\windows\system32\drivers\ZTEusbnmea.sys
2010-08-10 08:10 . 2009-10-29 17:28	105088	----a-w-	c:\windows\system32\drivers\ZTEusbmdm6k.sys
2010-08-10 08:10 . 2009-05-25 14:40	13824	----a-w-	c:\windows\system32\drivers\ZTEusbccid.sys
2010-08-10 08:09 . 2009-12-17 09:31	21504	----a-w-	c:\windows\system32\drivers\Ndisprot.sys
2010-08-10 08:09 . 2010-08-10 08:10	--------	d-----w-	c:\windows\system32\SupportAppCB
2010-08-10 08:09 . 2010-08-10 08:11	--------	d-----w-	c:\programme\Mobile Partner Manager
2010-08-10 08:08 . 2008-04-14 05:22	57728	-c--a-w-	c:\windows\system32\dllcache\redbook.sys
2010-08-10 08:08 . 2008-04-14 05:22	57728	----a-w-	c:\windows\system32\drivers\redbook.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-25 11:40 . 2010-04-18 20:56	--------	d-----w-	c:\programme\CrystalCPUID415
2010-08-25 11:28 . 2010-04-13 14:13	411266	----a-w-	c:\windows\system32\perfh007.dat
2010-08-25 11:28 . 2010-04-13 14:13	72490	----a-w-	c:\windows\system32\perfc007.dat
2010-08-24 08:03 . 2010-04-18 20:54	--------	d-----w-	c:\programme\VAG-COM409
2010-08-24 08:00 . 2010-07-14 09:27	--------	d-----w-	c:\programme\VCDS-Lite
2010-08-23 15:24 . 2010-08-23 15:24	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf
2010-08-23 15:24 . 2010-08-23 15:24	0	---ha-w-	c:\windows\system32\drivers\Msft_User_DD-USBDriver_01_09_00.Wdf
2010-08-23 15:24 . 2010-08-23 15:24	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_WinUSB_01009.Wdf
2010-08-23 15:24 . 2010-08-23 15:24	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_user_01_09_00.Wdf
2010-08-18 07:45 . 2010-08-18 07:45	4096	----a-w-	c:\windows\system32\01.tmp
2010-08-10 11:59 . 2010-04-18 20:52	--------	d-----w-	c:\programme\SpeedFan
2010-08-10 08:09 . 2010-04-18 19:10	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-08-10 08:06 . 2010-05-22 10:04	--------	d-----w-	c:\programme\The GodFather
2010-07-11 09:15 . 2010-07-11 09:15	--------	d-----w-	c:\programme\HHD Software
2010-07-11 09:15 . 2010-07-11 09:15	--------	d-----w-	c:\programme\Gemeinsame Dateien\HHD Software
2010-07-07 07:09 . 2010-07-07 07:09	--------	d-----w-	c:\programme\Xport
.

(((((((((((((((((((((((((((((   SnapShot@2010-08-24_14.25.07   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-08-25 11:24 . 2010-08-25 11:24	16384              c:\windows\Temp\Perflib_Perfdata_974.dat
+ 2010-04-13 14:13 . 2010-08-25 11:28	59780              c:\windows\system32\perfc009.dat
- 2010-04-13 14:13 . 2010-08-24 07:38	59780              c:\windows\system32\perfc009.dat
+ 2009-01-29 13:43 . 2009-01-29 13:43	94208              c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
- 2010-04-13 14:13 . 2010-08-24 07:38	397560              c:\windows\system32\perfh009.dat
+ 2010-04-13 14:13 . 2010-08-25 11:28	397560              c:\windows\system32\perfh009.dat
+ 2009-01-29 13:43 . 2009-01-29 13:43	950272              c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
+ 2005-05-24 10:27 . 2005-05-24 10:27	213048              c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2010-08-25 09:27 . 2010-08-25 09:27	228352              c:\windows\Installer\372fc5.msi
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"ClearTKHandle"="c:\programme\eGalaxTouch\ClearTKHandle.exe" [2008-11-12 102400]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"RTHDCPL"="RTHDCPL.EXE" [2010-04-06 19523104]
"BtTray"="c:\programme\IVT Corporation\BlueSoleil\BtTray.exe" [2010-04-27 319574]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2009-09-16 153608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Stryder\Startmen\Programme\Autostart\
CrystalCPUID.lnk - c:\programme\CrystalCPUID415\CrystalCPUID.exe [2010-4-18 823296]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LaunchTouchMon.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\LaunchTouchMon.lnk
backup=c:\windows\pss\LaunchTouchMon.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\psucolor]
2008-03-03 22:32	221221	----a-w-	C:\psucolor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UIExec]
2010-01-13 17:13	133120	----a-w-	c:\programme\Mobile Partner Manager\UIExec.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\philips\\Philips 802.11n Wireless USB Adapter\\CCU7740NMonitor.exe"= c:\\Programme\\philips\\Philips 802.11n Wireless USB Adapter\\PHUSBBGMonitor.exe
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1503:TCP"= 1503:TCP:fgrnzr

P2 MWconn_Internet_0;MWconn_Internet;c:\programme\MWConn\UMTSGPRS.exe [10.08.2010 10:20 274432]
R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [24.09.2009 05:40 20104]
R1 Ndisprot;GreenPacket NDIS Protocol Driver;c:\windows\system32\drivers\Ndisprot.sys [10.08.2010 10:09 21504]
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [25.08.2010 10:34 1935656]
R2 BsMobileCS;BsMobileCS;c:\programme\IVT Corporation\BlueSoleil\BsMobileCS.exe [27.04.2010 10:43 147563]
R2 TeamViewer5;TeamViewer 5;c:\programme\TeamViewer\Version5\TeamViewer_Service.exe [06.07.2010 17:03 173352]
R2 UI Assistant Service;UI Assistant Service;c:\programme\Mobile Partner Manager\AssistantServices.exe [10.08.2010 10:09 247296]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [25.08.2010 10:34 71008]
R3 BTCOM;Bluetooth Serial port driver;c:\windows\system32\drivers\btcomport.sys [06.04.2010 18:32 25992]
R3 BTCOMBUS;Bluetooth Serial Port Bus Service;c:\windows\system32\drivers\btcombus.sys [06.04.2010 18:32 22024]
R3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [24.09.2009 13:38 25864]
R3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [17.06.2009 14:01 23048]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [24.08.2010 09:31 38176]
R3 xTouch;xTouch;c:\windows\system32\drivers\xtouch.sys [18.04.2010 21:10 125952]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [01.05.2010 13:31 1691480]
S3 EGXFilter;EGXFilter;c:\windows\system32\drivers\EGXFilter.sys [18.04.2010 21:10 140800]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [10.08.2010 10:10 9216]
S3 NDMSHLP;Device Monitor Helper Driver;c:\programme\Gemeinsame Dateien\HHD Software\Device Monitor\NDMSHLP.sys [24.05.2005 23:23 7632]
S3 PORTMON;PORTMON;\??\e:\portmon\PORTMSYS.SYS --> e:\portmon\PORTMSYS.SYS [?]
S3 SerMon;Serial Monitor Filter Driver;c:\programme\HHD Software\Free Serial Port Monitor\sermon.sys [24.05.2005 23:26 18432]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = www-proxy.t-online.de:80
TCP: {4C2B4BE6-C9C9-4049-BF38-B77D23754440} = 193.189.244.225 193.189.244.206
DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} - hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-25 13:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(4092)
c:\programme\TeamViewer\Version5\tv.dll
c:\windows\system32\webcheck.dll
c:\programme\Spybot - Search & Destroy\SDHelper.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\System32\wudfhost.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
c:\programme\TeamViewer\Version5\TeamViewer.exe
c:\programme\IVT Corporation\BlueSoleil\BsHelpCS.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-25  13:41:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-25 11:41
ComboFix2.txt  2010-08-24 14:25

Vor Suchlauf: 15 Verzeichnis(se), 50.951.958.528 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 50.979.758.080 Bytes frei

- - End Of File - - A65D0984A1F056DED266B534BF7B778F

--- --- ---

markusg · 26.08.2010, 12:52

schau mal obs jetzt läuft, wenn nein, welche fehlermeldung

Stryder · 26.08.2010, 12:53

Ich glaubs ja gar nicht. Hab gar nicht probiert ob es geht aber es läuft.

Was hat das Programm angestellt?

markusg · 26.08.2010, 12:56

bitte öffne mal den arbeitsplatz, dort c:
dann rechtsklick auf qoobox
und wähle zu qoobox.rar oder zip hinzufügen, das archiv hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
wenn fertig, gib bescheid.
will mir mal ansehen was gelöscht wurde.

Stryder · 26.08.2010, 13:00

Ok hab ich gemacht. Vielen Dank schon mal für die schnelle Hilfe.

markusg · 26.08.2010, 13:36

download:
http://ad13.geekstogo.com/RootRepeal_beta.exe
trenne dann die internetverbindung, schalte aktieve programme aus.
http://ad13.geekstogo.com/RootRepeal_beta.exe
doppelklicke das programm
klicke auf report und scan,hake an:
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
klicke ok
nun wirst du gefragt welches laufwerk, klicke c: klicke ok.
wenn fertig, wähle safe report
speichere das log als RootRepeal.txt auf dem desktop
poste den inhalt.

Stryder · 26.08.2010, 13:50

Leider stürzt das Programm beim Suchlauf immer ab.

Hier ein Screenshot der Fehlermeldung.
Gefunden hatte er bis dahin nur die Log Datei von Teamviewer, der Remote Software die ich einsetze. Sonst nocht nichts.

markusg · 26.08.2010, 14:29

kannst du die fehlermeldung als text posten?
nutze gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html

Stryder · 26.08.2010, 14:47

Fehlermeldung als Text

Zitat:

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows XP SP3
Exception Code: 0xc0000005
Exception Address: 0x00417e70
Attempt to read from address: 0x00000000

Hier der Log von Gmer. Der erklärt ggf. auch warum das andere Programm abgestürzt ist. (Siehe 2. Eintrag)

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-25 15:47:05
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Stryder\LOKALE~1\Temp\kgtyipod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                         section is writeable [0xB7296380, 0x566445, 0xE8000020]
?      C:\WINDOWS\system32\drivers\rootrepeal.sys                                                       Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Emsisoft Anti-Malware\a2service.exe[1044] kernel32.dll!CreateThread + 1A            7C8106F1 4 Bytes  CALL 00455589 C:\Programme\Emsisoft Anti-Malware\a2service.exe (Emsisoft Anti-Malware Service/Emsi Software GmbH)

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00158322b874                      
Reg    HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00158322b874 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----

--- --- ---

markusg · 26.08.2010, 14:51

sieht gut aus, wie läuft der pc im moment?

Stryder · 26.08.2010, 16:02

Ich war grade ne halbe Stunde mit dem Auto unterwegs (in dem der PC ist) und er läuft bestens. Keine Probleme mehr.
30 Windows Updates runtergeladen und nun sind auch einige andere Probleme weg die ich vorher immer hatte.

Also vielen dank nochmal für die schnelle und kompetente Hilfe.

26.08.2010, 12:20	#2
markusg /// Malware-holic	Anti Virenseiten und Microsoft Update blockiert das HijackThis log bitte __________________

26.08.2010, 12:31	#4
markusg /// Malware-holic	Anti Virenseiten und Microsoft Update blockiert bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix

26.08.2010, 12:52	#6
markusg /// Malware-holic	Anti Virenseiten und Microsoft Update blockiert schau mal obs jetzt läuft, wenn nein, welche fehlermeldung

26.08.2010, 12:56	#8
markusg /// Malware-holic	Anti Virenseiten und Microsoft Update blockiert bitte öffne mal den arbeitsplatz, dort c: dann rechtsklick auf qoobox und wähle zu qoobox.rar oder zip hinzufügen, das archiv hochladen: http://www.trojaner-board.de/54791-a...ner-board.html wenn fertig, gib bescheid. will mir mal ansehen was gelöscht wurde.

26.08.2010, 14:29	#12
markusg /// Malware-holic	Anti Virenseiten und Microsoft Update blockiert kannst du die fehlermeldung als text posten? nutze gmer: http://www.trojaner-board.de/74908-a...t-scanner.html

Anti Virenseiten und Microsoft Update blockiert

Plagegeister aller Art und deren Bekämpfung: Anti Virenseiten und Microsoft Update blockiert