virus? C:\WINXP\system32\install\drive.exe

markusg · 19.02.2011, 19:03

was für nen knopf hast du gedrückt? hab ich nicht deutlich geschrieben, dass du den arbeitsplatz öffnen sollst dort d:
dann _OtL und dann moved files packen sollst.
Download
mit 7zip gehts auch, so schwirig ists doch net...

reddi007 · 19.02.2011, 19:12

ist wohl doch schwerer als ich/wir denke/n, denn es ist alles nicht mehr da, die OTL.exe und die logs sind alle weg.

denn wie man eine zip bzw rar datei erstellt weiss ich ja, hab ja 7zip als programm.

also ich weiss nicht was da los ist.

markusg · 19.02.2011, 19:16

ja weil du auf berienigen geklickt hst, jetzt kann ich nicht rausfinden welche malware das war.
anstatt nur anzuklicken was da steht...
machst du banking /einkäufe online?

reddi007 · 19.02.2011, 19:26

hhmm wäre mir nicht bewusst das ich das gedrückt haben soll, aber wie kann das sein dass wenn ich bei dem programm OTl,

:OTL
SRV - (ZFL) -- File not found
SRV - (UUMWPETNL) -- File not found
SRV - (HidServ) -- File not found
SRV - (Ati HotKey Poller) -- File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found
O3 - HKU\S-1-5-21-1644491937-220523388-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\DSL-Manager.lnk = File not found
ActiveX: {4P135AJH-0U2N-G8H6-DNF1-S41L5OD827K0} - C:\WINXP\system32\install\drive.exe
:Files
C:\WINXP\system32\install\drive.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

in die textbox eingebe, nach den restart alles gelöscht wird auch die OTL.exe und die logs ?

abundzu mache ich auch online banking. sollte ich das von nun an unterlassen über meinen rechner zu machen ?

markusg · 19.02.2011, 19:27

hast du in otl auf fix oder bereinigen geklickt?
mach mal folgendes.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

reddi007 · 19.02.2011, 19:38

also ich kann ganz ganz sicher sagen das ich auf den roten fix button gedrückt habe.

combofix log folgt sobald ich es habe.

markusg · 19.02.2011, 19:39

naja aber wenn otl.exe weg ist... naja wir schaun mal

reddi007 · 19.02.2011, 20:20

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-16.01 - WoWa 19.02.2011  19:47:00.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2558.2048 [GMT 1:00]
ausgeführt von:: d:\rootkitscan\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Virenschutz *Enabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
PEV Error: ProfilesFolder

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\WoWa\Anwendungsdaten\cglogs.dat
c:\programme\pdfforge Toolbar\IE\1.1.2\pdFForgetoolbarie.dll
c:\programme\pdfforge Toolbar\SeARchsettings.dll
c:\winxp\Options\Cabs\_desktop.ini
c:\winxp\system32\Desktop_.ini
c:\winxp\system32\muzapp.exe
c:\winxp\system32\twunk_32.exe
c:\winxp\system32\UNWISE.EXE
d:\lan\lan_realtek_V5.649.0615.2006\_desktop.ini
d:\lan\lan_realtek_V5.649.0615.2006\WIN2000\_desktop.ini
d:\lan\lan_realtek_V5.649.0615.2006\WIN98SE\_desktop.ini
d:\lan\lan_realtek_V5.649.0615.2006\WINME\_desktop.ini
d:\lan\lan_realtek_V5.649.0615.2006\WINXP\_desktop.ini

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT
-------\Service_RkHit


(((((((((((((((((((((((   Dateien erstellt von 2011-01-19 bis 2011-02-19  ))))))))))))))))))))))))))))))
.

2011-02-19 15:02 . 2011-02-19 15:02	--------	d-----w-	c:\dokumente und einstellungen\WoWa\Anwendungsdaten\Malwarebytes
2011-02-19 15:02 . 2010-12-20 17:09	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2011-02-19 15:02 . 2011-02-19 15:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-19 15:02 . 2010-12-20 17:08	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2011-02-17 21:37 . 2011-02-17 21:37	388096	----a-r-	c:\dokumente und einstellungen\WoWa\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-02-17 21:00 . 2011-02-17 21:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2011-02-16 19:03 . 2011-02-17 21:30	--------	d-----w-	c:\dokumente und einstellungen\WoWa\Anwendungsdaten\QuickScan
2011-02-16 18:46 . 2011-02-16 18:46	--------	d-----w-	c:\dokumente und einstellungen\WoWa\Anwendungsdaten\f-secure
2011-02-16 18:45 . 2011-02-16 18:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2011-02-16 18:26 . 2010-12-03 09:05	15880	----a-w-	c:\winxp\system32\lsdelete.exe
2011-02-16 17:53 . 2010-12-03 09:05	69976	----a-w-	c:\winxp\system32\drivers\sbapifs.sys
2011-02-16 17:52 . 2010-12-03 09:05	21464	----a-w-	c:\winxp\system32\drivers\sbaphd.sys
2011-02-16 17:48 . 2010-12-03 09:05	64288	----a-w-	c:\winxp\system32\drivers\Lbd.sys
2011-02-16 17:47 . 2011-02-16 17:47	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{2162CCC0-3A5F-4887-B51F-CE5F195B3620}
2011-02-16 16:53 . 2011-02-16 16:53	--------	d-----w-	c:\dokumente und einstellungen\WoWa\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2011-02-16 16:51 . 2011-02-16 16:58	95024	----a-w-	c:\winxp\system32\drivers\SBREDrv.sys
2011-02-16 16:47 . 2011-02-16 17:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\programme\Internet Explorer\Plugins\nppdf32.dll
2011-01-24 17:20 . 2011-01-24 19:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Rosetta Stone
2011-01-24 17:20 . 2011-01-24 17:20	--------	d-----w-	c:\programme\Rosetta Stone

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2010-01-30 . 05F3441246BFEDC2A5B12CF827012F7F . 361600 . . [5.1.2600.5625] . . c:\winxp\system32\dllcache\tcpip.sys
[-] 2010-01-30 . 05F3441246BFEDC2A5B12CF827012F7F . 361600 . . [5.1.2600.5625] . . c:\winxp\system32\drivers\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\winxp\$hf_mig$\KB951748\SP3QFE\tcpip.sys

[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NoPopUp"="d:\nopopup\NoPopUp 2003\nopopup.exe" [2003-12-18 234496]
"ccleaner"="d:\ccleaner\ccleaner.exe" [2010-12-21 2162488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096]
"RTHDCPL"="RTHDCPL.EXE" [2010-11-02 19580520]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [N/A]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - d:\bluetooth\BTTray.exe [2005-9-19 581693]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"PLFlash DeviceIoControl Service"=2 (0x2)
"NMIndexingService"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"ServiceLayer"=3 (0x3)
"getPlus(R) Helper"=3 (0x3)
"wuauserv"=2 (0x2)
"FLEXnet Licensing Service"=3 (0x3)
"TVersityMediaServer"=3 (0x3)
"idsvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
"AcerMemUsageCheckService"=2 (0x2)
"WMPNetworkSvc"=2 (0x2)
"AAV UpdateService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
"ATI Smart"=2 (0x2)
"TuneUp.UtilitiesSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"Application Updater"=2 (0x2)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"FsUsbExService"=2 (0x2)
"dgdersvc"=2 (0x2)
"ZFL"=3 (0x3)
"UUMWPETNL"=3 (0x3)
"Lavasoft Ad-Aware Service"=2 (0x2)
"helpsvc"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\winxp\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Adobe Reader Speed Launcher"="d:\adobereader\Reader\Reader_sl.exe"
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\sprachelernen\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"d:\\sprachelernen\\RosettaStoneVersion3.exe"=

R0 Lbd;Lbd;c:\winxp\system32\drivers\Lbd.sys [16.02.2011 18:48 64288]
R1 sbaphd;sbaphd;c:\winxp\system32\drivers\sbaphd.sys [16.02.2011 18:52 21464]
R1 SBRE;SBRE;c:\winxp\system32\drivers\SBREDrv.sys [16.02.2011 17:51 95024]
R1 vcdrom;Virtual CD-ROM Device Driver;d:\virtualcd\VCdRom.sys [24.01.2011 18:27 8576]
R2 McAfeeEngineService;McAfee Engine Service;d:\mcafee\EngineServer.exe [22.10.2009 20:07 21256]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\winxp\system32\mfevtps.exe [18.03.2010 16:30 70728]
R2 sbapifs;sbapifs;c:\winxp\system32\drivers\sbapifs.sys [16.02.2011 18:53 69976]
S1 eusk2par;EUTRON SmartKey Parallel Driver;c:\winxp\system32\drivers\eusk2par.sys [01.09.2009 14:18 24786]
S2 NSHE;Guardant Emulator Driver;c:\winxp\system32\drivers\NSHE.SYS [17.01.2010 16:01 97792]
S3 Ambfilt;Ambfilt;c:\winxp\system32\drivers\Ambfilt.sys [24.01.2010 20:51 1691480]
S3 avmaura;AVM USB-Fernanschluss;c:\winxp\system32\drivers\avmaura.sys [27.12.2008 19:26 101248]
S3 dgderdrv;dgderdrv;c:\winxp\system32\drivers\dgderdrv.sys [25.10.2010 10:07 18120]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\winxp\system32\Drivers\dsltestSp5.sys --> c:\winxp\system32\Drivers\dsltestSp5.sys [?]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\dokume~1\WoWa\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\dokume~1\WoWa\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\winxp\system32\FsUsbExDisk.Sys [06.12.2010 22:29 36640]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;d:\adaware\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05 15264]
S3 mferkdet;McAfee Inc. mferkdet;c:\winxp\system32\drivers\mferkdet.sys [18.03.2010 16:30 65448]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\winxp\system32\drivers\nmwcdnsu.sys [05.08.2010 14:42 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\winxp\system32\drivers\nmwcdnsuc.sys [05.08.2010 14:42 8320]
S3 rockusb;Driver for rockusb Device;c:\winxp\system32\drivers\rockusb.sys [22.03.2006 18:57 73984]
S3 SCM_DVB;SCM DVB_CA_Module;c:\winxp\system32\drivers\alphac.sys [26.08.2009 16:08 7711]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\winxp\system32\drivers\ss_bbus.sys [06.12.2010 22:28 98432]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\winxp\system32\drivers\ss_bmdfl.sys [06.12.2010 22:28 14848]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\winxp\system32\drivers\ss_bmdm.sys [06.12.2010 22:28 123648]
S3 ss_bserd;SAMSUNG USB Mobile Logging Driver;c:\winxp\system32\drivers\ss_bserd.sys [06.12.2010 22:28 100224]
S3 TSMPacket;DSL-Manager Service;c:\winxp\system32\DRIVERS\tsmpkt.sys --> c:\winxp\system32\DRIVERS\tsmpkt.sys [?]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\tuneup\TuneUpUtilitiesDriver32.sys [25.02.2010 09:18 10064]
S4 AAV UpdateService;AAV UpdateService;d:\steuer-sparer.2010.german-restore\install\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
S4 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [07.01.2010 23:51 380928]
S4 dgdersvc;Device Error Recovery Service;c:\winxp\system32\dgdersvc.exe [25.10.2010 10:07 95568]
S4 FsUsbExService;FsUsbExService;c:\winxp\system32\FsUsbExService.Exe [06.12.2010 22:29 217088]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\adaware\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05 1389400]
S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\tuneup\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
2007-09-19 09:32	7680	----a-w-	c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Eintrag öffnen - d:\translator\install\PRMTIE\addentry.htm
IE: Free YouTube Download - c:\dokumente und einstellungen\WoWa\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\WoWa\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Internet-Suche - d:\translator\install\PRMTIE\search.htm
IE: Nach Microsoft &Excel exportieren - d:\office~1\instal\OFFICE11\EXCEL.EXE/3000
IE: Seite übersetzen - d:\translator\install\PRMTIE\page.htm
IE: Senden an &Bluetooth - d:\bluetooth\btsendto_ie_ctx.htm
IE: Themenvorlage automatisch bestimmen - d:\translator\install\PRMTIE\aot.htm
IE: Translate this web page with Babylon - d:\translator\babylon\instal\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - d:\translator\babylon\instal\Utils\BabylonIEPI.dll/Action.htm
IE: Unbekannte Wörter - d:\translator\install\PRMTIE\infopanel.htm
IE: Übersetzen - d:\translator\install\PRMTIE\translat.htm
IE: Übersetzungsoptionen anpassen - d:\translator\install\PRMTIE\options.htm
IE: {{4034D172-4C52-49de-A6A1-E75F8F591FEC} - d:\translator\install\PRMTIE\options.htm
IE: {{A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - d:\translator\install\PRMTIE\prmtie5.htm
Trusted Zone: zattoo.com\www
TCP: {E5138A0C-8EB5-46FB-9F77-C2AC5DE1DE9C} = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\WoWa\Anwendungsdaten\Mozilla\Firefox\Profiles\os9itk7n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - Nachrichten - Service - Shopping bei t-online.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0015-0000-0014-ABCDEFFEDCBA} - d:\firefox\extensions\{CAFEEFAC-0015-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - d:\firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: Flagfox: {1018e4d6-728f-4b20-ad56-37578a4de76b} - %profile%\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
FF - Ext: Xmarks: foxmarks@kei.com - %profile%\extensions\foxmarks@kei.com
FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: browser.urlbar.autoFill - true
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: browser.blink_allowed - false
FF - user.js: network.http.max-connections-per-server - 8
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-pcsafedoctor - d:\rootkitscan\PCSafeDoctor\pcsafedoctor.exe
HKLM_ActiveSetup-ccc-core-static - msiexec
AddRemove-01_Simmental - d:\samsungbada\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - d:\samsungbada\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - d:\samsungbada\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - d:\samsungbada\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - d:\samsungbada\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-09_Hsp - d:\samsungbada\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - d:\samsungbada\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - d:\samsungbada\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - d:\samsungbada\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - d:\samsungbada\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-24_flashusbdriver - d:\samsungbada\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - d:\samsungbada\USB Drivers\25_escape\Uninstall.exe
AddRemove-Winamp Detect - d:\winamp detect\UninstWaDetect.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-19 20:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1644491937-220523388-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
@Denied: (Full) (Administrators)
@Denied: (Full) (RestrictedCode)
@Denied: (Full) (LocalSystem)
@Denied: (Full) (S-1-5-21-1644491937-220523388-1801674531-1003)
@Allowed: (Read) (S-1-5-21-1644491937-220523388-1801674531-1003)
"Policies"=expand:"c:\\WINXP\\system32\\install\\drive.exe"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
@DACL=(02 0010)
@Denied: (Full) (Administrators)
@Denied: (Full) (Users)
@Denied: (Full) (S-1-5-21-1644491937-220523388-1801674531-1003)
@Denied: (Full) (Owner)
@Denied: (Full) (PowerUsers)
@Denied: (Full) (LocalSystem)
@Denied: (Full) (S-1-5-21-1644491937-220523388-1801674531-1003)
"Policies"=expand:"c:\\WINXP\\system32\\install\\drive.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(988)
c:\winxp\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3472)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\btncopy.dll
d:\nokiasuite\Nokia PC Suite 7\PhoneBrowser.dll
d:\nokiasuite\Nokia PC Suite 7\NGSCM.DLL
d:\nokiasuite\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
d:\nokiasuite\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\bluetooth\bin\btwdins.exe
d:\common framework\FrameworkService.exe
d:\mcafee\VsTskMgr.exe
d:\mcafee\Mcshield.exe
d:\common framework\naPrdMgr.exe
d:\mcafee\mfeann.exe
c:\winxp\RTHDCPL.EXE
d:\mcafee\ShStat.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-19  20:17:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-19 19:17

Vor Suchlauf: 15 Verzeichnis(se), 24.053.821.440 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 23.903.539.200 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT /TUTAG=TFSDU8 /KERNEL=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional (TuneUp Backup)" /NOEXECUTE=OPTIN /FASTDETECT /TUTAG=TFSDU8-BAK /noguiboot

- - End Of File - - 3A57BE6A8FCC3879039C673D73E5D412

--- --- ---

reddi007 · 20.02.2011, 09:51

Zitat:

Zitat von markusg

öffne arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

so habs nun hoch geladen, nach heutigem hoch fahren war der _otl ordner plötzlich da.

markusg · 20.02.2011, 10:30

hatt gestern noch dein antiviren programm was gelöscht? die .exe is net im moved files ordner.

reddi007 · 20.02.2011, 11:28

nein, habe nichts weiter selber oder ein programm gemacht, ausser deinen anweisungen zu folgen.

vofür ich dir auch super dankbar bin.

markusg · 20.02.2011, 12:56

meinte ja nicht das du das unbedingt persönlich gewesen bist, nur ob dein av-programm evtl. angeschlagen hatt.

reddi007 · 20.02.2011, 13:42

achso, ne alles ok bis jetzt. keine meldungen, ist denn mcafee nen gutes programm ? oder was würde ein profi empfehlen ? damit sowas nicht wieder passiert.

markusg · 20.02.2011, 13:46

scanne mal mit deinem av nach update.

reddi007 · 20.02.2011, 13:52

update durchgeführt, scan gestartet.

19.02.2011, 19:16	#18
markusg /// Malware-holic	$virus? C:\WINXP\system32\install\drive.exe - Standard$ virus? C:\WINXP\system32\install\drive.exe ja weil du auf berienigen geklickt hst, jetzt kann ich nicht rausfinden welche malware das war. anstatt nur anzuklicken was da steht... machst du banking /einkäufe online? __________________ __________________

virus? C:\WINXP\system32\install\drive.exe

Log-Analyse und Auswertung: virus? C:\WINXP\system32\install\drive.exe