Trojaner-Board - [Zeus Virus] mitgeteilt von web.de abuse

Hallo!

Ich habe am 04.03 um 04:00 in der Früh vom Web.de Abuse Team folgende Mail erhalten:

Zitat:

Ihr Postfach: ***@web.de
Unsere Referenz: [Ticket ***]
Hinweis: Ihr Name in der Anrede zeigt Ihnen, dass diese Nachricht tatsächlich
von WEB.DE verschickt wurde.

Sehr geehrte/r Herr *** ***,
Sie erhalten heute eine dringende Nachricht zu Ihrem WEB.DE Postfach
***@web.de und der Sicherheit Ihrer persönlichen Daten.

Unser Team von Sicherheitsexperten hat zwei wichtige Informationen für Sie:

- Ein Virus hat das Passwort zu Ihrem WEB.DE Postfach ausgespäht.

- Dieser Virus heißt Zeus und befindet sich wahrscheinlich auf Ihrem
Computer.

In dieser E-Mail finden Sie alle notwendigen Informationen, um die Sicherheit
Ihres Postfaches und Ihres Computers wiederherzustellen.

***************************************************************************
WICHTIG: Von dem Virus "Zeus" geht eine erhebliche Gefahr aus. Er spioniert
Passwörter und Bank-Daten aus und leitet sie an seine Urheber weiter. Nach und
nach plündern die Angreifer anschließend mithilfe der Bank-Daten die Konten
ihrer Opfer aus. Sie möchten mehr über diesen Virus erfahren? Einen Bericht zu
diesem Virus finden Sie im 1&1 Blog unter:
hxxp://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner-zeus/
***************************************************************************

Und so gewinnen Sie den Kampf gegen Zeus:

***************************************************************************
1. Ändern Sie das Passwort zu Ihrem WEB.DE-Postfach:
***************************************************************************
Loggen Sie sich von einem sicheren Computer in Ihr Postfach ein.

Klicken Sie im linken Menü auf 'Meine Daten'. Sie gelangen in das WEB.DE
Kundencenter und ändern hier sicher Ihr Passwort.

***************************************************************************
2. Erkennen Sie, welcher Computer mit dem Virus Zeus infiziert ist:
***************************************************************************
Haben Sie in den letzten Tagen über unterschiedliche Computer auf Ihr
Postfach zugegriffen? Dann hilft Ihnen die folgende Angabe dabei den betroffenen
Computer zu finden:

Sie haben den Computer zum folgenden Zeitpunkt benutzt: 03.03.2012 20:08:36 Uhr

***************************************************************************
3. Löschen Sie den Virus:
***************************************************************************
Der Virus Zeus nimmt tiefgreifende Veränderungen im Betriebssystem des Computers
vor. Da eine Anti-Viren-Software auf dem Betriebssystem läuft, ist es sehr
schwierig diesen Virus mit einer Software zu entfernen.

Wir empfehlen Ihnen daher, den betroffenen Computer neu zu installieren.

TIPP: Allgemeine Unterstützung bei Virus-Infektionen erhalten vom
Anti-Botnet-Beratungszentrum der deutschen Initiative botfrei.de.

Sie erreichen die Experten des Anti-Botnet-Beratungszentrums unter der folgenden
Rufnummer: 0221 - 677 84 977

Wichtig: Geben Sie bei Ihrem Anruf bitte die folgende Voucher-Nummer an:
01-39108649

***************************************************************************
4. Ändern Sie anschließend alle Ihre Passwörter:
***************************************************************************
Nachdem Sie den Virus erfolgreich entfernt haben, ändern Sie zur Sicherheit das
Passwort erneut.

Ändern Sie auch alle Ihre anderen Passwörter. Denken Sie an Ihre Passwörter zu:
- Ihrem Online-Banking-Zugang
- Ihren Konten bei eBay und Paypal
- Ihren anderen E-Mail-Konten

***************************************************************************
5. Sichern Sie Ihren Computer für die Zukunft:
***************************************************************************
Um Ihren Computer zukünftig optimal zu schützen, empfehlen wir Ihnen die
Installation einer professionellen Anti-Viren-Software, wie dem WEB.DE
PC-Sicherheits-Paket.

Weitere Informationen finden Sie unter: hxxp://www.pc-sicherheit.web.de

***************************************************************************

Haben Sie noch Fragen an uns? Dann antworten Sie einfach auf diese E-Mail und
belassen bitte unsere Referenz [Ticket ***] in Ihrer Nachricht.

Wir freuen uns, mit Ihnen gemeinsam für die Sicherheit Ihres Postfaches zu
sorgen - vielen Dank für Ihre Mitarbeit!

Mit freundlichen Grüßen

Ihr Abuse-Team

--
Abuse-Abteilung
WEB.DE

hxxp://web.de/Impressum

Das hat mich ein wenig schockiert. Internet auf dem betroffenen Rechner gekappt (am 04.03 am Abend nach dem lesen der Mail) und gegoogelt.

Über google bin ich auf ComboFix gestoßen (welches dieses Problem lösen soll) habe Combofix runtergeladen, Antivir so gut es ging deaktiviert (obwohl alles auf aus war hat er mich trotzdem gewarnt) und dann das Programm ausgeführt.
Ich hab 3-4x eine Meldung bekommen, dass ein Virus gefunden wurde, einmal gab es ein reboot und folgendes File am Ende:

Combofix Logfile:

Code:

ComboFix 12-03-04.02 - *** 05.03.2012  18:26:22.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2843 [GMT 1:00]

ausgeführt von:: d:\dokumente und einstellungen\***\Desktop\WICHTIG\ComboFix.exe

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

d:\dokumente und einstellungen\***\4.0

d:\dokumente und einstellungen\***\Anwendungsdaten\AD ON Multimedia

d:\dokumente und einstellungen\***\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini

d:\dokumente und einstellungen\***\WINDOWS

d:\programme\INSTALL.LOG

d:\windows\$NtUninstallKB19617$

d:\windows\$NtUninstallKB19617$\2518276792\@

d:\windows\$NtUninstallKB19617$\2518276792\cfg.ini

d:\windows\$NtUninstallKB19617$\2518276792\Desktop.ini

d:\windows\$NtUninstallKB19617$\2518276792\L\ityybpwg

d:\windows\$NtUninstallKB19617$\528972586

d:\windows\system32\drivers\npf.sys

d:\windows\system32\Packet.dll

d:\windows\system32\wpcap.dll

E:\setup.exe

.

d:\windows\system32\drivers\vaxscsi.sys . . . ist infiziert!! . . . Failed to find a valid replacement.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_NPF

-------\Legacy_SSHNAS

-------\Service_NPF

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-05 bis 2012-03-05  ))))))))))))))))))))))))))))))

.

.

2012-03-05 17:15 . 2012-03-05 17:15        --------        d-----w-        d:\programme\CCleaner

2012-02-29 18:58 . 2012-02-29 18:59        --------        d-----w-        d:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\libimobiledevice

2012-02-28 20:04 . 2012-02-28 20:04        --------        d-----w-        d:\programme\iPod

2012-02-28 20:04 . 2012-02-28 20:04        --------        d-----w-        d:\programme\iTunes

2012-02-28 20:02 . 2012-02-28 20:02        --------        d-----w-        d:\programme\Bonjour

2012-02-16 17:15 . 2012-01-11 19:06        3072        -c----w-        d:\windows\system32\dllcache\iacenc.dll

2012-02-16 17:15 . 2012-01-11 19:06        3072        ------w-        d:\windows\system32\iacenc.dll

2012-02-10 20:18 . 2012-02-11 11:53        0        --sha-w-        d:\windows\system32\dds_trash_log.cmd

2012-02-10 20:17 . 2012-03-04 22:41        --------        d-----w-        d:\dokumente und einstellungen\***\Anwendungsdaten\Mawius

2012-02-10 20:17 . 2012-03-03 19:27        --------        d-----w-        d:\dokumente und einstellungen\***\Anwendungsdaten\Ufud

2012-02-08 09:22 . 2012-02-08 09:22        --------        d-----w-        d:\programme\Dropbox

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-19 17:43 . 2009-03-20 18:17        138192        ----a-w-        d:\windows\system32\drivers\avipbb.sys

2012-02-16 22:33 . 2011-05-21 10:27        414368        ----a-w-        d:\windows\system32\FlashPlayerCPLApp.cpl

2012-01-12 17:20 . 2008-04-14 05:23        1860096        ----a-w-        d:\windows\system32\win32k.sys

2012-01-10 19:25 . 2012-01-10 19:25        933888        ----a-w-        d:\windows\system32\o2cAreas.ocx

2012-01-10 19:25 . 2012-01-10 19:25        1208320        ----a-w-        d:\windows\system32\O2CPlayer.ocx

2011-12-20 19:48 . 2008-04-14 05:53        26624        ----a-w-        d:\windows\system32\userinit.exe

2011-12-17 19:43 . 2008-04-14 05:53        1469440        ----a-w-        d:\windows\system32\inetcpl.cpl

2011-12-17 19:43 . 2008-04-14 05:52        916992        ----a-w-        d:\windows\system32\wininet.dll

2011-12-17 19:43 . 2008-04-14 05:52        43520        ----a-w-        d:\windows\system32\licmgr10.dll

2011-12-16 12:22 . 2008-04-14 05:25        385024        ----a-w-        d:\windows\system32\html.iec

2010-12-01 13:43 . 2010-12-01 13:43        2690560        ----a-w-        d:\programme\PartyGaming.exe

2010-12-01 13:27 . 2010-12-01 13:27        1162744        ----a-w-        d:\programme\mfc90u.dll

2010-12-01 13:27 . 2010-12-01 13:27        41984        ----a-w-        d:\programme\llh.dll

2010-12-01 13:27 . 2010-12-01 13:27        37376        ----a-w-        d:\programme\ArticleManager.dll

2010-12-01 13:27 . 2010-12-01 13:27        655872        ----a-w-        d:\programme\msvcr90.dll

2010-12-01 13:27 . 2010-12-01 13:27        434176        ----a-w-        d:\programme\PGImageDll.dll

2010-12-01 13:27 . 2010-12-01 13:27        568832        ----a-w-        d:\programme\msvcp90.dll

2010-12-01 13:27 . 2010-12-01 13:27        28672        ----a-w-        d:\programme\DID.dll

2010-12-01 13:27 . 2010-12-01 13:27        679936        ----a-w-        d:\programme\libeay32.dll

2010-12-01 13:27 . 2010-12-01 13:27        33280        ----a-w-        d:\programme\PGWMIRetriever.dll

2010-12-01 13:27 . 2010-12-01 13:27        147456        ----a-w-        d:\programme\ssleay32.dll

2010-12-01 13:27 . 2010-12-01 13:27        144896        ----a-w-        d:\programme\PGBrowser.dll

2010-12-01 13:23 . 2010-12-01 13:23        90112        ----a-w-        d:\programme\gkgfx.dll

2010-12-01 13:23 . 2010-12-01 13:23        81920        ----a-w-        d:\programme\xpcom_compat.dll

2010-12-01 13:23 . 2010-12-01 13:23        69632        ----a-w-        d:\programme\mozz.dll

2010-12-01 13:23 . 2010-12-01 13:23        462848        ----a-w-        d:\programme\js3250.dll

2010-12-01 13:23 . 2010-12-01 13:23        430080        ----a-w-        d:\programme\xpcom_core.dll

2010-12-01 13:23 . 2010-12-01 13:23        376832        ----a-w-        d:\programme\nss3.dll

2010-12-01 13:23 . 2010-12-01 13:23        28672        ----a-w-        d:\programme\plc4.dll

2010-12-01 13:23 . 2010-12-01 13:23        270336        ----a-w-        d:\programme\nssckbi.dll

2010-12-01 13:23 . 2010-12-01 13:23        253952        ----a-w-        d:\programme\softokn3.dll

2010-12-01 13:23 . 2010-12-01 13:23        24576        ----a-w-        d:\programme\xpcom.dll

2010-12-01 13:23 . 2010-12-01 13:23        24576        ----a-w-        d:\programme\plds4.dll

2010-12-01 13:23 . 2010-12-01 13:23        200704        ----a-w-        d:\programme\freebl3.dll

2010-12-01 13:23 . 2010-12-01 13:23        155648        ----a-w-        d:\programme\nspr4.dll

2010-12-01 13:23 . 2010-12-01 13:23        131072        ----a-w-        d:\programme\ssl3.dll

2010-12-01 13:23 . 2010-12-01 13:23        106496        ----a-w-        d:\programme\smime3.dll

2010-12-01 13:20 . 2010-12-01 13:20        114688        ----a-w-        d:\programme\PGDetector.exe

2010-12-01 13:20 . 2010-12-01 13:20        110592        ----a-w-        d:\programme\CleanUp.exe

2009-08-05 14:19 . 2009-08-05 14:19        110592        ----a-w-        d:\programme\DM.dll

2008-01-24 16:22 . 2008-01-24 16:22        995410        ----a-w-        d:\programme\MFC42LU.DLL

2008-01-24 16:22 . 2008-01-24 16:22        59904        ----a-w-        d:\programme\zlib1.dll

2008-01-24 16:22 . 2008-01-24 16:22        393216        ----a-w-        d:\programme\MSLUP60.dll

2008-01-24 16:22 . 2008-01-24 16:22        237568        ----a-w-        d:\programme\MSLURT.dll

2006-11-07 07:53 . 2006-11-07 07:53        258352        ----a-w-        d:\programme\UNICOWS.DLL

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OnlineFestplatte"="d:\programme\aon\Onlinefestplatte\OnlineFestplatte.exe" [2008-01-25 253976]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-04-07 16859136]

"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"StatusClient"="d:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]

"TomcatStartup"="d:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]

"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]

"Start WingMan Profiler"="d:\programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]

"StartCCC"="d:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-09-10 98304]

"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2010-11-29 421888]

"SunJavaUpdateSched"="d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]

"bgsmsnd.exe"="d:\windows\system32\bgsmsnd.exe" [2007-11-19 160136]

"APSDaemon"="d:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

d:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\

Dropbox.lnk - d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-2-17 26530760]

.

d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Acrobat Speed Launcher.lnk - d:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2008-5-16 25214]

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UrrabpagCifw.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programme\\Steam\\steamapps\\xxx\\half-life 2 deathmatch\\hl2.exe"=

"d:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=

"d:\\Programme\\Doom 3\\DOOM3DED.exe"=

"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=

"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=

"d:\\Programme\\Telekom Austria\\aonController\\aonController.exe"=

"d:\\Programme\\Telekom Austria\\Breitband-Internet-Installation\\fixnet installer\\Installer.exe"=

"d:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=

"d:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

"d:\\Programme\\Messenger\\msmsgs.exe"=

"e:\\Programme\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=

"e:\\Programme\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=

"d:\\Programme\\Vuze\\Azureus.exe"=

"d:\\Programme\\Skype\\Phone\\Skype.exe"=

"e:\\Neu noch nicht auf platte\\iphoneX\\tinyumbrella-4.33.00.exe"=

"d:\\Dokumente und Einstellungen\\xxx\\Eigene Dateien\\Downloads\\putty.exe"=

"e:\\Programme\\Fifa 12\\Game\\fifa.exe"=

"x:\\GTA IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=

"x:\\GTA IV\\Grand Theft Auto IV\\GTAIV.exe"=

"d:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"d:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"d:\\Programme\\Bonjour\\mDNSResponder.exe"=

"d:\\Programme\\iTunes\\iTunes.exe"=

"e:\\Neu noch nicht auf platte\\iphoneX\\tinyumbrella-5.10.07.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"23351:UDP"= 23351:UDP:UDP 23351

"23630:TCP"= 23630:TCP:TCP 23630

.

R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [05.01.2010 21:29 64512]

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [13.05.2008 21:47 721904]

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 19:17 136360]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programme\Lavasoft\Ad-Aware\AAWService.exe [21.07.2011 13:59 2152152]

R3 vaxscsi;vaxscsi;d:\windows\system32\drivers\vaxscsi.sys [13.05.2008 21:49 223128]

S2 gupdate;Google Update Service (gupdate);d:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 12:38 135664]

S2 qvylsxmjg;qvylsxmjg;\??\d:\windows\system32\drivers\ulfaiiaeitmj.sys --> d:\windows\system32\drivers\ulfaiiaeitmj.sys [?]

S2 vsrbf;vsrbf;\??\d:\windows\system32\drivers\sqiwrtkvgrawv.sys --> d:\windows\system32\drivers\sqiwrtkvgrawv.sys [?]

S3 FsUsbExDisk;FsUsbExDisk;d:\windows\system32\FsUsbExDisk.Sys [16.11.2009 18:50 36608]

S3 gupdatem;Google Update-Dienst (gupdatem);d:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 12:38 135664]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);d:\windows\system32\drivers\s115bus.sys [23.12.2008 16:56 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;d:\windows\system32\drivers\s115mdfl.sys [23.12.2008 16:56 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;d:\windows\system32\drivers\s115mdm.sys [23.12.2008 16:56 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);d:\windows\system32\drivers\s115mgmt.sys [23.12.2008 16:57 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;d:\windows\system32\drivers\s115obex.sys [23.12.2008 16:57 98568]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 SynasUSB;SynasUSB;d:\windows\system32\drivers\synasUSB.sys [10.01.2012 20:25 23288]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

mssql$sqlexpress

se2Bunic

el90xbc

GENERICDRV

ghoststartservice

QPSched

wg5n

raidmagt

iaimtv4

wpsdrvnt

softfax

{e2b953a6-195a-44f9-9ba3-3d5f4e32bb55}

ehsched

appnnode

Gernuwa

rmedia

TICalc

AmdIde

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-05 d:\windows\Tasks\Ad-Aware Update (Weekly).job

- d:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-07-21 07:40]

.

2012-02-28 d:\windows\Tasks\AppleSoftwareUpdate.job

- d:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 11:34]

.

2012-03-05 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- d:\programme\Google\Update\GoogleUpdate.exe [2009-12-29 11:38]

.

2012-03-04 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- d:\programme\Google\Update\GoogleUpdate.exe [2009-12-29 11:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://orf.at/

uInternet Settings,ProxyServer = 195.37.16.97:3128

uInternet Settings,ProxyOverride = *.local

IE: Block frame with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_frame

IE: Block image with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_image

IE: Block link with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_link

IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Don't filter page with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_exclude

IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Report page to the Ad Muncher developers - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_report

IE: View EXIF - c:\viewexif\EXIF.htm

FF - ProfilePath - d:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\90we2vdv.default\

FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com

FF - Ext: Gutscheinsammler.de: alarm@gutscheinsammler.de - %profile%\extensions\alarm@gutscheinsammler.de

FF - Ext: EPUBReader: {5384767E-00D9-40E9-B72F-9CC39D655D6F} - %profile%\extensions\{5384767E-00D9-40E9-B72F-9CC39D655D6F}

FF - Ext: 20-20 3D Viewer - IKEA: 2020Player_IKEA@2020Technologies.com - %profile%\extensions\2020Player_IKEA@2020Technologies.com

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

.

------- Dateityp-Verknüpfung -------

.

.txt=

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-RGSC - x:\gta iv\Rockstar Games Social Club\RGSCLauncher.exe

HKLM-Run-NPSStartup - (no file)

AddRemove-Foxit PDF Editor - c:\program files\Foxit Software\PDF Editor\uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-03-05 18:34

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-746137067-1060284298-1801674531-1003\Software\SecuROM\License information*]

"datasecu"=hex:e9,96,8f,71,29,52,18,d4,da,8e,2a,6c,f2,fc,52,e4,9b,ad,5d,de,ce,

   54,01,45,25,c0,9b,3c,91,f6,3b,03,e7,bf,b1,38,a5,c3,67,fc,34,3d,16,7e,bb,2f,\

"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(624)

d:\windows\system32\Ati2evxx.dll

d:\windows\system32\atiadlxx.dll

.

- - - - - - - > 'explorer.exe'(564)

d:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

d:\windows\system32\webcheck.dll

d:\windows\system32\WPDShServiceObj.dll

d:\windows\system32\PortableDeviceTypes.dll

d:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

d:\windows\system32\Ati2evxx.exe

d:\windows\system32\Ati2evxx.exe

d:\programme\Avira\AntiVir Desktop\avguard.exe

d:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

d:\programme\Avira\AntiVir Desktop\avshadow.exe

d:\programme\Bonjour\mDNSResponder.exe

d:\programme\Java\jre6\bin\jqs.exe

d:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

d:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE

d:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe

d:\windows\RTHDCPL.EXE

d:\programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

d:\windows\system32\wbem\unsecapp.exe

d:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

d:\programme\iPod\bin\iPodService.exe

d:\programme\Lavasoft\Ad-Aware\AAWTray.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-05  18:39:15 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-05 17:39

.

Vor Suchlauf: 6.297.640.960 Bytes frei

Nach Suchlauf: 6.543.335.424 Bytes frei

.

- - End Of File - - F33EEC955C1C55B4C2D10CD2E8BECF60

--- --- ---

Ist der Virus damit weg?
Wohl eher nicht?
Neuaufsetzen von D:\ wäre kein Problem.
E:\ ist eine andere Partition auf der selben Platte
X:\ eine eigene Platte

Leider werden auch e: und x: in dem Report erwähnt.
Muss ich auch von den bei den laufwerken alle Programme und .exe datein löschen um den Virus endgültig loszuwerden?
Bin für jede Hilfe dankbar :)

edit: die spiele (z.b. fifa) und programme (z.b. tinyumbrella) sind möglicherweise genau die, die ich seit einem mögliche virusbefall gestartet habe. sind die dadruch infiziert worden? Andere Spiele und Programme auf den selben Platten/Partitionen sind nicht angeführt?!