|
Plagegeister aller Art und deren Bekämpfung: evt. rootkit eingefangen(agent), was tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.09.2010, 21:31 | #1 |
| evt. rootkit eingefangen(agent), was tun? Hallo zusammen, habe dieses Forum eben via google gefunden, da ich wohl Probleme mit meinem Rechner habe, von denen ich bislang garnichts wusste. Ich würde mich sehr freuen wenn ihr mir helfen könntet. Nachdem er in den letzten Monaten nicht mehr so rund lief, tauchen mittlerweile Warnungen von Anti-Vir auf, "signatur des rootkits agent.diiu" habe ich nun mehrfach in Quarantäne verschieben lassen. Komischwerweise kam das mit dem spybot-update, ich hatte bei den vollen Systemscans (spybot zeigt trotz update nichts an) auch irgendwie den Eindruck dass sich die Programme gegenseitig behindern. Echtes Rechnerproblem ist eine Art Aufhängen, er ist extrem langsam, Lüfter auf Hochtouren, es hilft nur Neustart, für kurze Zeit. Leider kenne ich mich mit der Materie nicht aus, meine Rechner liefen immer mit Windows, dazu regelmäßige updates von anti vir und spybot SD, damit hatte ich nun über 10 Jahre keine Probleme. Tja, bis heute... habe nun diesen Thread gefunden bei euch: http://www.trojaner-board.de/86110-r...2-drivers.html Frage: soll ich mit den Anweisungen darin einfach mal loslegen? da als Ort immer "systeme volume information" angezeigt wird, habe ich noch das hier gefunden: hxxp://www.it-academy.cc/article/1562/System+Volume+Information+Viren+entfernen.html soll ich erst Methode 2 versuchen? schonmal danke und Gruß Christoph nachtrag: anti vir zeigt mir genau das gleiche wie hier: http://www.trojaner-board.de/90662-a...iu-befall.html kann ich genau wie in diesem thread vorgehen und die ergebnisse hier posten? oder soll ich vorher nochmal von Hand was versuchen zu ändern, z.B. im Ordner "systeme volume information"? so, die ersten logfiles: AntiVir von Samstag nacht: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 12. September 2010 11:44 Es wird nach 2801829 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir Personal - FREE Antivirus Seriennummer: 0000149996-ADJIE-0000001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: HPCHRIS Versionsinformationen: BUILD.DAT : 8.2.0.354 17048 Bytes 23-10-2009 13:15:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 08-12-2008 20:15:49 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17-07-2008 19:31:34 LUKE.DLL : 8.1.4.5 164097 Bytes 17-07-2008 19:31:34 LUKERES.DLL : 8.1.4.0 12545 Bytes 17-07-2008 19:31:34 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06-11-2009 17:18:02 ANTIVIR1.VDF : 7.10.9.170 16733040 Bytes 23-07-2010 19:01:13 ANTIVIR2.VDF : 7.10.11.127 3380640 Bytes 10-09-2010 08:01:06 ANTIVIR3.VDF : 7.10.11.128 2048 Bytes 10-09-2010 08:01:07 Engineversion : 8.2.4.50 AEVDF.DLL : 8.1.2.1 106868 Bytes 02-08-2010 20:22:15 AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26-08-2010 21:43:41 AESCN.DLL : 8.1.6.1 127347 Bytes 12-05-2010 23:31:06 AESBX.DLL : 8.1.3.1 254324 Bytes 25-04-2010 21:14:47 AERDL.DLL : 8.1.8.2 614772 Bytes 20-07-2010 21:36:00 AEPACK.DLL : 8.2.3.5 471412 Bytes 08-08-2010 22:47:52 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21-07-2010 21:35:45 AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03-09-2010 20:35:57 AEHELP.DLL : 8.1.13.3 242038 Bytes 26-08-2010 21:43:37 AEGEN.DLL : 8.1.3.20 397684 Bytes 26-08-2010 21:43:36 AEEMU.DLL : 8.1.2.0 393588 Bytes 25-04-2010 21:14:47 AECORE.DLL : 8.1.16.2 192887 Bytes 20-07-2010 21:35:43 AEBB.DLL : 8.1.1.0 53618 Bytes 25-04-2010 21:14:46 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17-07-2008 19:31:34 AVPREF.DLL : 8.0.2.0 38657 Bytes 17-07-2008 19:31:34 AVREP.DLL : 8.0.0.7 159784 Bytes 02-03-2010 21:59:57 AVREG.DLL : 8.0.0.1 33537 Bytes 17-07-2008 19:31:34 AVARKT.DLL : 1.0.0.23 307457 Bytes 27-04-2008 14:39:08 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17-07-2008 19:31:34 SQLITE3.DLL : 3.3.17.1 339968 Bytes 27-04-2008 14:39:08 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17-07-2008 19:31:34 NETNT.DLL : 8.0.0.1 7937 Bytes 27-04-2008 14:39:08 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17-07-2008 19:31:30 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17-07-2008 19:31:30 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Sonntag, 12. September 2010 11:44 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'monmvr32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nipalsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nipalsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tagsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nisvcloc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nidmsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nimxs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lktsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lkads.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lkcitdl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '54' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Christoph\Startmenü\Programme\Autostart\monmvr32.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP722\A0052449.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbca46d.qua' verschoben! C:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP722\A0052458.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbca473.qua' verschoben! C:\WINDOWS\system32\drivers\secdrv.sys [FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cefed5b.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <ProgrammeLager> D:\Lager\instCDs\RTCW\DirectX\dxnt.cab [0] Archivtyp: CAB (Microsoft) --> d3dref.dll [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Lager\Lager1\kram\Seppel\INSTALLPROGRAMME\CLONECD\KEYGENERATOR\DAMN_CLONECD3042_KG.EXE [FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd9ef5a.qua' verschoben! D:\Lager\Lager1\Music,Sounds&Video\Audiograbber\AudioGrabber.1.82.Final_+_Keygen_[Shared_by_RAM].rar [0] Archivtyp: RAR --> AudioGrabber 1.82 Final\pgc_ag18.exe [FUND] Ist das Trojanische Pferd TR/Spy.91648.1 [WARNUNG] Die Datei wurde ignoriert. D:\Lager\Lager4science\AFP\BallsSticks\BS-1.52.zip [0] Archivtyp: ZIP --> bs.exe [FUND] Ist das Trojanische Pferd TR/Agent.638464 [WARNUNG] Die Datei wurde ignoriert. D:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP722\A0051474.exe [0] Archivtyp: ZIP SFX (self extracting) --> Clone CD_6 versions + Serials + Keygens/Clone CD 4.0 + serial.zip [1] Archivtyp: ZIP --> clone cd 4.0 and serial/cloneCDSetupLocaleEditor.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Delf.acqb [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbcfbe2.qua' verschoben! D:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP723\A0052507.EXE [FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbcfbe8.qua' verschoben! Beginne mit der Suche in 'E:\' <EigeneDateien> E:\Christoph\kram\Spaß\Seppl\INSTALLPROGRAMME\CLONECD\KEYGENERATOR\DAMN_CLONECD3042_KG.EXE [FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd9fcdd.qua' verschoben! E:\Christoph\uni\Studium\Hauptstudium\Anorganik\Präparate\USBStickafp\C&A\zipprogramme.zip [0] Archivtyp: ZIP --> BallsSticks/BS-1.52.zip [1] Archivtyp: ZIP --> bs.exe [FUND] Ist das Trojanische Pferd TR/Agent.638464 [WARNUNG] Die Datei wurde ignoriert. E:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP723\A0052508.EXE [FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbd0097.qua' verschoben! Ende des Suchlaufs: Sonntag, 12. September 2010 18:32 Benötigte Zeit: 6:48:12 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 15302 Verzeichnisse wurden überprüft 658977 Dateien wurden geprüft 11 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 8 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 658962 Dateien ohne Befall 5840 Archive wurden durchsucht 8 Warnungen 8 Hinweise ____________________________________________________ und eben von Combofix. Evt ist sie nicht ausreichend, da er trotz vorherigem deaktivierens was von Spybot und Antivir gemeldet hat. Ich hab anscheinend die Holländische Combofixversion, ich deeinsalliere alles und versuchs nochmal. bis dahin: Combofix Logfile: Code:
ATTFilter ComboFix 10-09-12.04 - Christoph 13.09.2010 22:17:38.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1031.18.1022.585 [GMT 2:00] Kører fra: c:\dokumente und einstellungen\Christoph\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !! . ((((((((((((((((((((((((((((((((((((((( Andet, der er slettet ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Christoph\Anwendungsdaten\avdrn.dat c:\dokumente und einstellungen\Christoph\x.exe c:\windows\system32\fjhdyfhsn.bat . ((((((((((((((((((((((((((((( Filer skabt fra 2010-08-13 til 2010-09-13 ))))))))))))))))))))))))))))))))))) . 2010-09-13 20:04 . 2010-09-13 20:04 -------- d-----w- c:\windows\system32\LogFiles 2010-09-12 23:04 . 2010-09-12 23:21 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-09-11 21:21 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys 2010-09-11 21:21 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys 2010-09-11 21:21 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys 2010-09-11 21:21 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys 2010-09-11 21:21 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys 2010-09-11 21:21 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys 2010-09-11 20:52 . 2010-09-11 20:52 46592 ---ha-w- c:\windows\system32\diskdosx.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-13 20:04 . 2007-02-18 22:57 -------- d-----w- c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Skype 2010-09-13 19:32 . 2009-05-25 16:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-09-13 18:55 . 2007-05-03 22:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2010-09-12 23:15 . 2007-02-17 11:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-09-11 20:51 . 2010-09-11 20:50 24 ----a-w- c:\dokumente und einstellungen\Christoph\Anwendungsdaten\apiqfw.dat 2010-08-31 20:36 . 2010-06-10 20:52 -------- d-----w- c:\programme\DVDVideoSoftTB 2010-07-25 08:17 . 2010-07-25 08:17 -------- d-----w- c:\dokumente und einstellungen\Gast\Anwendungsdaten\InterVideo 2010-06-30 12:28 . 2004-08-04 13:00 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-24 12:15 . 2004-08-04 13:00 832512 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 12:15 . 2004-08-04 13:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-06-24 12:15 . 2004-08-04 13:00 17408 ------w- c:\windows\system32\corpol.dll 2010-06-24 09:02 . 2004-08-04 13:00 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-04 13:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-17 14:03 . 2004-08-04 13:00 80384 ----a-w- c:\windows\system32\iccvid.dll 2004-03-15 16:51 . 2004-03-15 16:51 114688 ----a-w- c:\programme\internet explorer\plugins\LV71ActiveXControl.dll 2003-05-01 08:36 . 2003-05-01 08:36 114688 ----a-w- c:\programme\internet explorer\plugins\LV7ActiveXControl.dll 2006-01-23 09:32 . 2006-01-23 09:32 131072 ----a-w- c:\programme\internet explorer\plugins\LV80ActiveXControl.dll 2006-06-07 13:40 . 2006-06-07 13:40 132848 ----a-w- c:\programme\internet explorer\plugins\LV82ActiveXControl.dll . ((((((((((((((((((((((((((((((((((( Start steder i reg.basen )))))))))))))))))))))))))))))))))))))))))))))))) . . *Bemærk* tomme linier & lovlige standard linier vises ikke REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-08-31 20:36 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Christoph\Startmen\Programme\Autostart\ monmvr32.exe [2008-4-14 32256] PowerReg Scheduler V3.exe [2007-2-18 241664] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HP Software Update"=c:\programme\Hp\HP Software Update\HPWuSchd2.exe "WinampAgent"=d:\programme\Winamp\winampa.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" "NeroCheck"=c:\windows\system32\NeroCheck.exe "QuickTime Task"="d:\programme\QuickTime\QTTask.exe" -atboottime "iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" "PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTLPHR.EXE "PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Programme\\National Instruments\\LabVIEW 8.2\\LabVIEW.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\National Instruments\\MAX\\nimxsoffline.exe"= "d:\\Programme\\Falcon4AF\\FalconAF.exe"= "d:\\Programme\\National Instruments\\Shared\\Example Finder\\1.0\\BIN\\NIExampleFinder.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\Skype\\Phone\\Skype.exe"= R2 gpib420;GPIB Analyzer;c:\windows\system32\drivers\gpib420.sys [13.02.2006 12:45 31334] R2 GpibPrtK;Gpib Port;c:\windows\system32\drivers\GpibPrtK.sys [13.02.2006 12:45 199783] R2 lvalarmk;lvalarmk;c:\windows\system32\drivers\lvalarmk.dll [27.07.2005 09:58 10829] R2 niarbk;niarbk;c:\windows\system32\drivers\niarbk.dll [04.07.2006 17:35 37376] R2 nibffrk;nibffrk;c:\windows\system32\drivers\nibffrk.dll [04.07.2006 17:35 21504] R2 Nidaq32k;Nidaq32k;c:\windows\system32\drivers\nidaq32k.sys [04.07.2006 18:24 674304] R2 nidevldu;nidevldu;system32\nipalsm.exe --> system32\nipalsm.exe [?] R2 nidimk;nidimk;c:\windows\system32\drivers\nidimk.dll [13.07.2006 13:04 159232] R2 nidmmk;NI DMM and Data Logger Kernel Driver;c:\windows\system32\drivers\nidmmk.dll [04.07.2006 18:26 50688] R2 nidmxfk;nidmxfk;c:\windows\system32\drivers\nidmxfk.dll [20.07.2006 01:19 200704] R2 nidwgk;nidwgk;c:\windows\system32\drivers\nidwgk.dll [10.07.2006 18:52 979456] R2 niemrk;niemrk;c:\windows\system32\drivers\niemrk.dll [20.07.2006 19:50 370176] R2 nifslk;nifslk;c:\windows\system32\drivers\nifslk.dll [16.07.2006 04:16 81920] R2 nigplk;nigplk;c:\windows\system32\drivers\nigplk.dll [15.02.2006 10:59 101376] R2 nihsdrk;nihsdrk;c:\windows\system32\drivers\nihsdrk.dll [10.07.2006 16:02 815616] R2 nimdsk;nimdsk;c:\windows\system32\drivers\nimdsk.dll [04.07.2006 17:36 30208] R2 nimxpk;nimxpk;c:\windows\system32\drivers\nimxpk.dll [16.07.2006 01:55 20480] R2 nipsdk;nipsdk;c:\windows\system32\drivers\nipsdk.dll [10.07.2006 11:55 246784] R2 nipxirmk;nipxirmk;c:\windows\system32\drivers\nipxirmk.dll [18.07.2006 10:34 71680] R2 nisldk;nisldk;c:\windows\system32\drivers\nisldk.dll [10.07.2006 14:55 395776] R2 nisrcdk;nisrcdk;c:\windows\system32\drivers\nisrcdk.dll [10.07.2006 15:05 965632] R2 nistck;nistck;c:\windows\system32\drivers\niSTCk.dll [04.07.2006 17:36 111616] R2 niswdk;niswdk;c:\windows\system32\drivers\niswdk.dll [16.07.2006 01:16 496640] R2 nixsrk;nixsrk;c:\windows\system32\drivers\nixsrk.dll [20.07.2006 19:50 1746432] R2 usb6xxxk;usb6xxxk;c:\windows\system32\drivers\usb6xxxk.dll [16.07.2006 03:22 19968] R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [17.02.2007 13:17 231424] R3 nicdrk;nicdrk;c:\windows\system32\drivers\nicdrk.dll [16.07.2006 01:50 171520] R3 nimru2k;nimru2k;c:\windows\system32\drivers\nimru2k.dll [13.07.2006 13:58 248832] R3 nimsdrk;nimsdrk;c:\windows\system32\drivers\nimsdrk.dll [16.07.2006 01:05 137728] R3 nimstsk;nimstsk;c:\windows\system32\drivers\nimstsk.dll [16.07.2006 01:07 51712] R3 niscdk;niscdk;c:\windows\system32\drivers\niscdk.dll [16.07.2006 01:42 506880] R3 nisdigk;nisdigk;c:\windows\system32\drivers\nisdigk.dll [16.07.2006 03:22 240128] R3 nitiork;nitiork;c:\windows\system32\drivers\nitiork.dll [16.07.2006 01:57 790528] S3 nidsark;nidsark;c:\windows\system32\drivers\nidsark.dll [20.07.2006 19:39 648192] S3 niesrk;niesrk;c:\windows\system32\drivers\niesrk.dll [20.07.2006 19:50 500224] S3 nimslk;nimslk;c:\windows\system32\drivers\nimslk.dll [05.06.2006 19:03 14464] S3 nimsrlk;nimsrlk;c:\windows\system32\drivers\nimsrlk.dll [05.06.2006 19:03 151683] S3 nisftk;nisftk;c:\windows\system32\drivers\nisftk.dll [16.07.2006 01:39 164864] S3 nismbusk;nismbusk;c:\windows\system32\drivers\nismbusk.sys [18.07.2006 10:51 51200] S3 nispdk;nispdk;c:\windows\system32\drivers\nispdk.dll [16.07.2006 01:42 43008] S3 nissrk;nissrk;c:\windows\system32\drivers\nissrk.dll [20.07.2006 19:50 1026560] S3 nistc2k;nistc2k;c:\windows\system32\drivers\nistc2k.dll [06.06.2006 01:21 163328] S3 nistcrk;nistcrk;c:\windows\system32\drivers\nistcrk.dll [16.07.2006 01:57 111616] S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\system32\drivers\nivifwk.sys [14.07.2006 12:57 8704] S3 NiViPciK;NI-VISA PCI Driver;c:\windows\system32\drivers\nivipcik.sys [14.07.2006 12:56 48128] S3 NiViPxiK;NI-VISA PXI Driver;c:\windows\system32\drivers\nivipxik.sys [14.07.2006 12:56 10752] S3 niwfrk;niwfrk;c:\windows\system32\drivers\niwfrk.dll [20.07.2006 19:50 434688] S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8187.sys [17.02.2007 13:55 180608] S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [17.02.2007 13:55 13532] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.11.2008 16:49 646392] . . ------- Yderligere scanning ------- . IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-13 22:21 Windows 5.1.2600 Service Pack 3 NTFS scanner skjulte processer ... scanner skjulte autostarter ... scanner skjulte filer ... scanning gennemført med succes skjulte filer: 0 ************************************************************************** . --------------------- DLLs startet under kørende Processer --------------------- - - - - - - - > 'winlogon.exe'(652) c:\windows\system32\Ati2evxx.dll . Gennemført tid: 2010-09-13 22:24:09 ComboFix-quarantined-files.txt 2010-09-13 20:23 Pre-Kørsel: 2.806.857.728 Bytes frei Post-Kørsel: 2.769.879.040 Bytes frei - - End Of File - - 69D2C777F766A67BFE74A7C12F4E73D6 _____________________________________________________________ danke und gruß, C. und nachdem spybot und avira vorher komplett deaktiviert wurden. Hat ein vielfaches länger gedauert... Problem des sich aufhängenden Computers bleibt, nach dem ersten Scan wars mal weg... Combofix Logfile: Code:
ATTFilter ComboFix 10-09-12.04 - Christoph 13.09.2010 23:53:32.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1031.18.1022.649 [GMT 2:00] Kører fra: c:\dokumente und einstellungen\Christoph\Desktop\ComboFix.exe . ((((((((((((((((((((((((((((( Filer skabt fra 2010-08-13 til 2010-09-13 ))))))))))))))))))))))))))))))))))) . 2010-09-13 20:04 . 2010-09-13 20:04 -------- d-----w- c:\windows\system32\LogFiles 2010-09-12 23:04 . 2010-09-13 21:47 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-09-11 21:21 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys 2010-09-11 21:21 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys 2010-09-11 21:21 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys 2010-09-11 21:21 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys 2010-09-11 21:21 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys 2010-09-11 21:21 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys 2010-09-11 20:52 . 2010-09-11 20:52 46592 ---ha-w- c:\windows\system32\diskdosx.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-13 21:44 . 2007-02-17 11:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-09-13 20:04 . 2007-02-18 22:57 -------- d-----w- c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Skype 2010-09-13 19:32 . 2009-05-25 16:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-09-11 20:51 . 2010-09-11 20:50 24 ----a-w- c:\dokumente und einstellungen\Christoph\Anwendungsdaten\apiqfw.dat 2010-08-31 20:36 . 2010-06-10 20:52 -------- d-----w- c:\programme\DVDVideoSoftTB 2010-07-25 08:17 . 2010-07-25 08:17 -------- d-----w- c:\dokumente und einstellungen\Gast\Anwendungsdaten\InterVideo 2010-06-30 12:28 . 2004-08-04 13:00 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-24 12:15 . 2004-08-04 13:00 832512 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 12:15 . 2004-08-04 13:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-06-24 12:15 . 2004-08-04 13:00 17408 ------w- c:\windows\system32\corpol.dll 2010-06-24 09:02 . 2004-08-04 13:00 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-04 13:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-17 14:03 . 2004-08-04 13:00 80384 ----a-w- c:\windows\system32\iccvid.dll 2004-03-15 16:51 . 2004-03-15 16:51 114688 ----a-w- c:\programme\internet explorer\plugins\LV71ActiveXControl.dll 2003-05-01 08:36 . 2003-05-01 08:36 114688 ----a-w- c:\programme\internet explorer\plugins\LV7ActiveXControl.dll 2006-01-23 09:32 . 2006-01-23 09:32 131072 ----a-w- c:\programme\internet explorer\plugins\LV80ActiveXControl.dll 2006-06-07 13:40 . 2006-06-07 13:40 132848 ----a-w- c:\programme\internet explorer\plugins\LV82ActiveXControl.dll . ((((((((((((((((((((((((((((((((((( Start steder i reg.basen )))))))))))))))))))))))))))))))))))))))))))))))) . . *Bemærk* tomme linier & lovlige standard linier vises ikke REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] 2010-08-31 20:36 2736736 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD1.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736] [HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Christoph\Startmen\Programme\Autostart\ monmvr32.exe [2008-4-14 32256] PowerReg Scheduler V3.exe [2007-2-18 241664] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HP Software Update"=c:\programme\Hp\HP Software Update\HPWuSchd2.exe "WinampAgent"=d:\programme\Winamp\winampa.exe "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" "NeroCheck"=c:\windows\system32\NeroCheck.exe "QuickTime Task"="d:\programme\QuickTime\QTTask.exe" -atboottime "iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" "PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTLPHR.EXE "PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Programme\\National Instruments\\LabVIEW 8.2\\LabVIEW.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\National Instruments\\MAX\\nimxsoffline.exe"= "d:\\Programme\\Falcon4AF\\FalconAF.exe"= "d:\\Programme\\National Instruments\\Shared\\Example Finder\\1.0\\BIN\\NIExampleFinder.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\Skype\\Phone\\Skype.exe"= R2 gpib420;GPIB Analyzer;c:\windows\system32\drivers\gpib420.sys [13.02.2006 12:45 31334] R2 GpibPrtK;Gpib Port;c:\windows\system32\drivers\GpibPrtK.sys [13.02.2006 12:45 199783] R2 lvalarmk;lvalarmk;c:\windows\system32\drivers\lvalarmk.dll [27.07.2005 09:58 10829] R2 niarbk;niarbk;c:\windows\system32\drivers\niarbk.dll [04.07.2006 17:35 37376] R2 nibffrk;nibffrk;c:\windows\system32\drivers\nibffrk.dll [04.07.2006 17:35 21504] R2 Nidaq32k;Nidaq32k;c:\windows\system32\drivers\nidaq32k.sys [04.07.2006 18:24 674304] R2 nidevldu;nidevldu;system32\nipalsm.exe --> system32\nipalsm.exe [?] R2 nidimk;nidimk;c:\windows\system32\drivers\nidimk.dll [13.07.2006 13:04 159232] R2 nidmmk;NI DMM and Data Logger Kernel Driver;c:\windows\system32\drivers\nidmmk.dll [04.07.2006 18:26 50688] R2 nidmxfk;nidmxfk;c:\windows\system32\drivers\nidmxfk.dll [20.07.2006 01:19 200704] R2 nidwgk;nidwgk;c:\windows\system32\drivers\nidwgk.dll [10.07.2006 18:52 979456] R2 niemrk;niemrk;c:\windows\system32\drivers\niemrk.dll [20.07.2006 19:50 370176] R2 nifslk;nifslk;c:\windows\system32\drivers\nifslk.dll [16.07.2006 04:16 81920] R2 nigplk;nigplk;c:\windows\system32\drivers\nigplk.dll [15.02.2006 10:59 101376] R2 nihsdrk;nihsdrk;c:\windows\system32\drivers\nihsdrk.dll [10.07.2006 16:02 815616] R2 nimdsk;nimdsk;c:\windows\system32\drivers\nimdsk.dll [04.07.2006 17:36 30208] R2 nimxpk;nimxpk;c:\windows\system32\drivers\nimxpk.dll [16.07.2006 01:55 20480] R2 nipsdk;nipsdk;c:\windows\system32\drivers\nipsdk.dll [10.07.2006 11:55 246784] R2 nipxirmk;nipxirmk;c:\windows\system32\drivers\nipxirmk.dll [18.07.2006 10:34 71680] R2 nisldk;nisldk;c:\windows\system32\drivers\nisldk.dll [10.07.2006 14:55 395776] R2 nisrcdk;nisrcdk;c:\windows\system32\drivers\nisrcdk.dll [10.07.2006 15:05 965632] R2 nistck;nistck;c:\windows\system32\drivers\niSTCk.dll [04.07.2006 17:36 111616] R2 niswdk;niswdk;c:\windows\system32\drivers\niswdk.dll [16.07.2006 01:16 496640] R2 nixsrk;nixsrk;c:\windows\system32\drivers\nixsrk.dll [20.07.2006 19:50 1746432] R2 usb6xxxk;usb6xxxk;c:\windows\system32\drivers\usb6xxxk.dll [16.07.2006 03:22 19968] R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [17.02.2007 13:17 231424] R3 nicdrk;nicdrk;c:\windows\system32\drivers\nicdrk.dll [16.07.2006 01:50 171520] R3 nimru2k;nimru2k;c:\windows\system32\drivers\nimru2k.dll [13.07.2006 13:58 248832] R3 nimsdrk;nimsdrk;c:\windows\system32\drivers\nimsdrk.dll [16.07.2006 01:05 137728] R3 nimstsk;nimstsk;c:\windows\system32\drivers\nimstsk.dll [16.07.2006 01:07 51712] R3 niscdk;niscdk;c:\windows\system32\drivers\niscdk.dll [16.07.2006 01:42 506880] R3 nisdigk;nisdigk;c:\windows\system32\drivers\nisdigk.dll [16.07.2006 03:22 240128] R3 nitiork;nitiork;c:\windows\system32\drivers\nitiork.dll [16.07.2006 01:57 790528] S3 nidsark;nidsark;c:\windows\system32\drivers\nidsark.dll [20.07.2006 19:39 648192] S3 niesrk;niesrk;c:\windows\system32\drivers\niesrk.dll [20.07.2006 19:50 500224] S3 nimslk;nimslk;c:\windows\system32\drivers\nimslk.dll [05.06.2006 19:03 14464] S3 nimsrlk;nimsrlk;c:\windows\system32\drivers\nimsrlk.dll [05.06.2006 19:03 151683] S3 nisftk;nisftk;c:\windows\system32\drivers\nisftk.dll [16.07.2006 01:39 164864] S3 nismbusk;nismbusk;c:\windows\system32\drivers\nismbusk.sys [18.07.2006 10:51 51200] S3 nispdk;nispdk;c:\windows\system32\drivers\nispdk.dll [16.07.2006 01:42 43008] S3 nissrk;nissrk;c:\windows\system32\drivers\nissrk.dll [20.07.2006 19:50 1026560] S3 nistc2k;nistc2k;c:\windows\system32\drivers\nistc2k.dll [06.06.2006 01:21 163328] S3 nistcrk;nistcrk;c:\windows\system32\drivers\nistcrk.dll [16.07.2006 01:57 111616] S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\system32\drivers\nivifwk.sys [14.07.2006 12:57 8704] S3 NiViPciK;NI-VISA PCI Driver;c:\windows\system32\drivers\nivipcik.sys [14.07.2006 12:56 48128] S3 NiViPxiK;NI-VISA PXI Driver;c:\windows\system32\drivers\nivipxik.sys [14.07.2006 12:56 10752] S3 niwfrk;niwfrk;c:\windows\system32\drivers\niwfrk.dll [20.07.2006 19:50 434688] S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8187.sys [17.02.2007 13:55 180608] S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [17.02.2007 13:55 13532] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.11.2008 16:49 646392] . . ------- Yderligere scanning ------- . IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-14 00:17 Windows 5.1.2600 Service Pack 3 NTFS scanner skjulte processer ... scanner skjulte autostarter ... scanner skjulte filer ... scanning gennemført med succes skjulte filer: 0 ************************************************************************** . --------------------- DLLs startet under kørende Processer --------------------- - - - - - - - > 'winlogon.exe'(648) c:\windows\system32\Ati2evxx.dll . Gennemført tid: 2010-09-14 00:32:14 ComboFix-quarantined-files.txt 2010-09-13 22:32 ComboFix2.txt 2010-09-13 20:24 Pre-Kørsel: 3.046.715.392 Bytes frei Post-Kørsel: 3.034.804.224 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DAN.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - CA8E714C7128F05DD023B028682CBE51 Logdatei Malwarebyte: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4615 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 14.09.2010 23:45:38 mbam-log-2010-09-14 (23-45-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 256793 Laufzeit: 1 Stunde(n), 13 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\diskdosx.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully. D:\Lager\Lager1\kram\Seppel\INSTALLPROGRAMME\CLONECD\SETUPCLONECD.EXE (Trojan.Agent.CK) -> Quarantined and deleted successfully. E:\Christoph\kram\Spaß\Seppl\INSTALLPROGRAMME\CLONECD\SETUPCLONECD.EXE (Trojan.Agent.CK) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Christoph\Startmenü\Programme\Autostart\monmvr32.exe (Trojan.Downloader) -> Delete on reboot. C:\Dokumente und Einstellungen\Christoph\Desktop\AntiVir.lnk (Rogue.Antivir2010) -> Quarantined and deleted successfully. Einige Objekte ließen sich gemäß Meldung nicht entfernen. Ich lasse erneut scannen... |
15.09.2010, 14:57 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | evt. rootkit eingefangen(agent), was tun?Zitat:
Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr. Für Dich geht es hier weiter => Neuaufsetzen des Systems Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken. Danach nie wieder sowas anrühren!
__________________ |
15.09.2010, 15:13 | #3 |
| evt. rootkit eingefangen(agent), was tun? das mit der Backdoorfunktion ist mir neu. Würde aber den Befall erklären.
__________________Die angesprochenen Sachen hab ich seit ca. 2004 auf der Festplatte und habe sie selbst von Bekannten bekommen. (Denke wir alle haben sowas mal in unterschiedlicher Ausprägung gemacht) Sowas mit dem Neuaufsetzen nicht mehr aufgespielt, danke für den Hinweis!!!! Es wäre mir so wohl nie mehr aufgefallen! dann nehme ich das als Chance mich dieser Altlasten zu entledigen. Externe Platte ist bestellt, setzte kommende Woche neu auf. Kann mein Forenaccount bestehen bleiben oder bin ich direkt für immer gesperrt/von Hilfe ausgeschlossen ? In dem Fall würde ich gerne um Löschung dieses threats und meines Accounts bitten! Tut mir leid dass ich (unwissentlich) gegen die Forenregeln verstoßen habe. Geändert von bitburger1 (15.09.2010 um 15:26 Uhr) |
15.09.2010, 15:27 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | evt. rootkit eingefangen(agent), was tun? Dein Konto bleibt, nur gibt es für das System in dieser Konfig keinen Bereinigungssupport.
__________________ Logfiles bitte immer in CODE-Tags posten |
15.09.2010, 15:30 | #5 |
| evt. rootkit eingefangen(agent), was tun? alles klar danke. System kommt neu. Werd später die von Euch empfohlenen Service Progs nehmen wie Ccleander statt meinem reg-cleaner und etwas einlesen, hab mich Jahre nicht mehr damit befasst. Würd mich freuen wenn ich mich bei Problemen irgendwann wieder melden kann. |
Themen zu evt. rootkit eingefangen(agent), was tun? |
0 bytes, agent, anti vir, audiograbber, aufhängen, components, druck, forum, gen, google, hallo zusammen, jahre, jusched.exe, kurze, langsam, lüfter, national, neustart, nicht mehr, nt.dll, probleme, programme, quarantäne, rechner, rootkit, rootkits, sched.exe, signatur, skype.exe, tr/spy., trotz, updates, usb 2.0, verschieben, verweise, virus gefunden, was tun, was tun?, windows, windows recovery, ändern |