Trojaner-Board - Outpost Firewall und Antivir starten nicht mehr; virtumonde

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Outpost Firewall und Antivir starten nicht mehr; virtumonde (https://www.trojaner-board.de/47276-outpost-firewall-antivir-starten-mehr-virtumonde.html)

Outpost Firewall und Antivir starten nicht mehr; virtumonde

Hallo,
nachdem die Outpost Firewall UND Avira Antvir beim Startup mit Fehlermeldungen nicht mehr starten, habe ich mit AVG Anti Spyware das System überprüft, verschiedene Virtumonde-Befälle gefunden und entfernt. Das hat am Problem nichts geändert. Ausserdem sind verschiedene Prozesse im Task-Manager mehrmals vertreten, wie man sieht, allerdings mit einem oder mehr Leerzeichen vor dem ".exe". Ein Leerzeichen vor dem ".exe" taucht auch bei der Fehlermeldung von Avira Antivir auf:"avgnt .exe" statt "avgnt.exe" sei gelöscht oder zerstört, wobei beide Dateien vorhanden sind, nur dass "avgnt .exe" kleiner ist als "avgnt.exe". Bei einer Neuinstallation von Antivir bzw. Outpost passiert nach einem Neustart das selbe.
Ich bitte um Hilfe!
Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:15:20, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ak\Programme\a-squared Free\a2service.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Diskeeper\DkService.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\DAEMON Tools\daemon .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ak\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6BC462-84F5-4F06-A2CE-61F017967B93}: NameServer = 213.191.74.19,213.191.92.87
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\ak\Programme\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Vielen Dank schonmal!

Bennene die hijackthis.exe bitte in test.com um und erstelle mit der so umbenannten Datei ein neues Hijackthis log. Falls du diese beiden "AVGNT" Dateien noch hast, teste sie bitte bei VirusTotal - Free Online Virus and Malware Scan

Hi.
Habe die avgnt-Dateien nicht mehr, aber bevor ich Antivir deinstalliert habe, habe ich es mit AVG Anti-Spyware gescannt und nix gefunden.
Logfile von test.com

Logfile of HijackThis v1.99.1
Scan saved at 17:57:12, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ak\Programme\a-squared Free\a2service.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Diskeeper\DkService.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\DAEMON Tools\daemon .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\ak\programme\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\ak\test.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0DCF0712-36FF-41B8-BFA1-5D6765636B6E} - C:\WINDOWS\system32\mljge.dll (file missing)
O2 - BHO: (no name) - {3FE6702B-BA5A-4BD6-9CF2-617846AEB563} - C:\WINDOWS\system32\ssqpm.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {CA4F0D8D-5F2B-4F16-838A-8D52249EAB21} - C:\WINDOWS\system32\hgghfdd.dll
O2 - BHO: (no name) - {D371F590-DD89-4C32-9355-C3A6A8938F0B} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6BC462-84F5-4F06-A2CE-61F017967B93}: NameServer = 213.191.74.19,213.191.92.87
O20 - Winlogon Notify: hgghfdd - C:\WINDOWS\SYSTEM32\hgghfdd.dll
O20 - Winlogon Notify: ssqnnkh - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\ak\Programme\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Nutze bitte vundofix: Vundofix
und erstelle danach ein Combofix report. Poste bitte beide Reporte hier.

Combofix

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Nachtrag: Auch wenn die Tools recht sicher sind trotzdem der Hinweis: Nutzung wie immer auf eigene Gefahr und eine Datensicherung waere nie verkehrt

Hi Ralf.
Ich weiß ja nicht, ob sich schon was getan haben sollte, aber die "mit leerzeichen vor dem .exe verdoppelten Tasks" sind immernoch im Task-Manager zu sehen.

Logfile von VundoFix:
---
VundoFix V6.7.7

Checking Java version...

Sun Java not detected
Scan started at 19:01:23 16.12.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...
---

Und Logfile von Combofix:
---
ComboFix 07-12-21.4 - ak 2007-12-16 19:24:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.288 [GMT 1:00]
ausgeführt von:: C:\ak\antivirus\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\hgghfdd.dll
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\mpqss.ini2
C:\WINDOWS\system32\tmp30.tmp
C:\WINDOWS\system32\tmp35.tmp
C:\WINDOWS\system32\tmp38.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip

((((((((((((((((((((((( Dateien erstellt von 2007-11-21 bis 2007-12-21 ))))))))))))))))))))))))))))))
.

2007-12-22 20:05 . 2007-12-16 17:12 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-22 18:57 . 2007-12-18 00:36 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe
2007-12-19 14:34 . 2007-12-19 14:34 300 --a------ C:\WINDOWS\game.ini
2007-12-19 14:18 . 2007-12-19 14:18 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-19 13:34 . 2007-12-19 13:34 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-18 23:54 . 2007-12-18 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2007-12-18 22:04 . 2007-12-18 22:04 335 --a------ C:\WINDOWS\mozregistry.dat
2007-12-18 15:19 . 2006-04-20 12:51 359,808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2007-12-18 13:20 . 2007-12-18 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Agnitum
2007-12-18 03:23 . 2007-12-18 03:23 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-12-18 03:23 . 2007-12-18 03:23 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-12-18 03:22 . 2007-12-18 03:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sunbelt Software
2007-12-18 03:20 . 2007-12-18 03:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft
2007-12-18 03:10 . 2007-12-18 03:10 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Sunbelt Software
2007-12-18 03:04 . 2007-12-18 03:04 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Grisoft
2007-12-18 03:03 . 2007-12-18 03:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-18 03:03 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-18 03:02 . 2007-12-18 03:02 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Thunderbird
2007-12-18 02:39 . 2007-03-29 13:58 409,600 -----c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2007-12-18 02:39 . 2007-03-29 13:58 18,944 -----c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2007-12-18 02:39 . 2007-03-29 13:58 8,192 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-12-18 02:39 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2007-12-18 02:39 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-12-18 02:39 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2007-12-18 01:31 . 2007-12-18 01:31 99,024 --a------ C:\WINDOWS\MozillaUninstall.exe
2007-12-18 01:30 . 2007-12-18 01:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\mozilla.org
2007-12-18 01:30 . 2007-12-18 01:30 98,512 --a------ C:\WINDOWS\GREUninstall.exe
2007-12-17 23:57 . 2007-12-17 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2007-12-17 23:36 . 2007-12-17 23:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-17 23:36 . 2007-12-18 03:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-17 22:53 . 2007-12-17 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Talkback
2007-12-17 22:53 . 2007-12-17 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\ATI
2007-12-17 22:49 . 2006-12-28 21:10 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Vorlagen
2007-12-17 22:49 . 2006-12-28 21:05 <DIR> dr------- C:\Dokumente und Einstellungen\ak\Startmen
2007-12-17 22:49 . 2006-12-28 21:05 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Netzwerkumgebung
2007-12-17 22:49 . 2007-12-17 23:30 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Lokale Einstellungen
2007-12-17 22:49 . 2007-12-17 22:52 <DIR> dr------- C:\Dokumente und Einstellungen\ak\Favoriten
2007-12-17 22:49 . 2007-12-16 15:38 <DIR> dr------- C:\Dokumente und Einstellungen\ak\Eigene Dateien
2007-12-17 22:49 . 2006-12-28 21:05 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Druckumgebung
2007-12-17 22:49 . 2007-12-16 17:42 <DIR> dr-h----- C:\Dokumente und Einstellungen\ak\Anwendungsdaten
2007-12-17 09:21 . 2007-12-17 09:21 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-12-16 19:01 . 2007-12-16 19:01 <DIR> d-------- C:\VundoFix Backups
2007-12-16 17:42 . 2007-12-16 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Media Player Classic
2007-12-16 16:49 . 2007-12-21 19:34 326,656 --a------ C:\WINDOWS\system32\ssqpm.exe
2007-12-16 16:15 . 2007-03-15 20:52 6,722 --ahs---- C:\WINDOWS\system32\egjlm.ini2
2007-12-16 16:15 . 2007-03-15 20:52 6,722 --ahs---- C:\WINDOWS\system32\egjlm.ini
2007-12-16 16:09 . 2007-12-16 16:09 326,656 --a------ C:\WINDOWS\system32\RCXE.tmp
2007-12-16 13:57 . 2007-12-16 13:57 326,656 --a------ C:\WINDOWS\system32\RCX11.tmp
2007-12-15 18:51 . 2007-12-15 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2007-12-15 18:44 . 2007-11-01 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-12-08 12:11 . 2007-12-08 12:11 <DIR> d-------- C:\Programme\MSXML 6.0
2007-12-08 12:07 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-02 01:32 . 2007-12-02 01:52 47,104 --a------ C:\WINDOWS\system32\KMVIDC32.DLL
2007-12-02 00:37 . 2007-12-02 00:38 <DIR> d-------- C:\Programme\Scorched3D
2007-11-27 09:03 . 2007-11-27 09:03 <DIR> d-------- C:\Programme\MSECache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-21 18:33 --------- d-----w C:\Programme\DAEMON Tools
2007-12-18 13:19 --------- d-----w C:\Programme\SystemRequirementsLab
2007-12-18 00:41 --------- d-----w C:\Programme\Java
2007-12-17 22:51 --------- d-----w C:\Programme\Google
2007-12-17 22:22 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-17 21:04 --------- d-----w C:\Programme\Diskeeper
2007-12-17 20:38 489,984 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\MSConfig .exe
2007-12-16 15:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-16 15:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-15 17:46 --------- d-----w C:\Programme\ATI Technologies
2007-12-08 10:58 --------- d-----w C:\Programme\BearShare
2007-11-22 17:46 --------- d-----w C:\Programme\Gothic III
2007-11-08 20:58 --------- d-----w C:\Programme\7-Zip
2007-11-02 05:52 2,644,480 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-11-02 03:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-10-27 17:57 --------- d-----w C:\Programme\Audiograbber
2007-03-15 19:52 6,722 --sha-w C:\WINDOWS\system32\egjlm.ini2
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DCF0712-36FF-41B8-BFA1-5D6765636B6E}]
C:\WINDOWS\system32\mljge.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10387C5A-1747-42C8-AAAF-C161C06C816F}]
2007-03-15 20:59 323072 --a------ C:\WINDOWS\system32\ssqpm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-16 17:12]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DiskeeperSystray"="C:\Programme\Diskeeper\DkIcon.exe" []
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-12-16 17:12]
"!AVG Anti-Spyware"="C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe" [2007-12-21 19:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 14:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnnkh]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\ssqpm.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ssqpm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 20:38]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-12-30 01:04]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-02-17 20:47]
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2001-12-18 13:45]
R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-18 03:55]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys [2005-04-12 18:21]
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys [2005-04-12 18:21]
S1 ai2cnt;ai2cnt;C:\WINDOWS\system32\drivers\ai2cnt.sys []
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 20:35]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 12:28]
S3 WmFilter;Logitech Gaming HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys [2005-04-12 18:21]
S3 WmHidLo;Logitech Gaming USB Filter Driver;C:\WINDOWS\system32\drivers\WmHidLo.sys [2005-04-12 18:21]
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys [2005-04-12 18:21]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-21 19:34:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\ssqpm.dll
.
Zeit der Fertigstellung: 2007-12-21 19:35:56 - machine was rebooted
---

Mfg,
Alex.

Ja, das mit den Leerzeichen habe ich schon gesehen. Das scheint eine neue Vundo Variante zu sein.

Es waere nett, wenn du folgende Dateien packen und an thespykiller hochladen koenntest. Anleitung: HijackThis.de Support Board - Einzelnen Beitrag anzeigen - Anscheinend neue Malware

Dateien:

C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\ctfmon.exe Sofern vorhanden
C:\WINDOWS\system32\NeroCheck.exe Sofern vorhanden
C:\WINDOWS\system32\drivers\tcpip.sys.flg
C:\WINDOWS\system32\ssqpm.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\MSConfig .exe
C:\WINDOWS\system32\ssqpm.dll

Wenn du wuesstest, wo du dir das eingefangen hast, ware es natuerlich noch besser...

Gemacht.
Woher wir es haben weiß ich nicht. Ich weiß nicht mal seit wann. Vielen dank nochmal für Deine Hilfe, ich bin gespannt, wie und ob es weitergeht.
PS: Wieso findet eigentlich Vundofix Java nicht, obwohl es installiert ist?

MfG,
Alex.

Danke. Das mit dem Java wird wohl an dem Leerzeichen bei den Dateien liegen

Mann ist das alles ärgerlich. So ohne Firewall, das hat ja nun GAR keine Zukunft. Was soll ich wohl als nächstes tun? Warten?
Grüße,
Alex.

Neu aufsetzen ist immer noch eine Alternative. Ich kann dir inzwischen soviel sagen, das die Datei ctfmon mit und ohne das Leerzeichen identisch sind, aber bei der umbenannten msconfig sieht das schon schlechter aus.

Scan report of: MSConfig .exe

AntiVir -
Avast! -
AVG -
BitDefender -
ClamAV -
Command -
Dr Web -
eSafe -
eTrust-VET -
Ewido -
F-Prot -
F-Secure -
Fortinet -
Ikarus -
Kaspersky Trojan-Dropper.Win32.Agent.dgo
McAfee -
Microsoft -
Nod32 -
Norman -
Panda -
QuickHeal -
Rising -
Sophos -
Sunbelt -
Symantec -
Trend Micro -
VBA32 -
VirusBuster -
WebWasher

Sprich , das ist einer dieser Dateiinfizierender Vundos mit derzeit grausiger Erkennung. Du kannst Kasperskys Onlinescanner deinen PC pruefen lassen, aber im Grunde wird das wohl auf Neu aufsetzen hinauslaufen.... :(

Neu aufsetzen, sag nicht sowas. ;) Das Ding muss doch irgendwo sitzen, wo man es entfernen kann, z.b. in allen infizierten dateien, oder nicht?

Ja, du must nur sehen, ob du die Orginale findest. Ich habe die Dateien einmal komplett eingeschickt, aber ob und wann ein AV-Programm eine Reinigung, wie gut diese auch sein mag, einbaut.

Vieleicht ergibt sich noch eine Moeglichkeit. Hast du auch noch die msconfig.exe auf deinem Rechner, also ohne das Leerzeichen? Wenn ja, wie gross ist diese?

So wie das fuer mich als halblaie auf dem Gebiet aussieht, erzeugt Vundo einfach eine neue Resourcesection und packt dahin die eigentliche Malware. Also sollte eine Reinigung nicht so schwer zu machen sein, aber Sicherheit bietet das noch lange nicht...

MSConfig .exe : Not detected by Sandbox (Signature: NO_VIRUS)
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK

[ General information ]
* Accesses executable file from resource section.
* File length: 489984 bytes.
* MD5 hash: 215d1b251326b9a97647e3e7e09508d7.

für das mit der "resourcesection" fehlen mit dir kenntnisse. ;) die original msconfig.exe ist so wie die anderen originalfiles noch da. die hat aber eine andere größe: 160.768 Bytes. Die anderen Executables mit gleichen Namen (plus leerzeichen vor dem .exe) haben auch verschiedene größen.

Naja, die Dateien ohne die Leerzeichen sind die Orginale. Nur bist du das haendisch umbenannt, geloescht und die anderen Malwaredateien/Reg Eintraege beseitigt hast, bist du mit dem neu aufsetzen schon laengst fertig.... ;)

bin ich mir gar nicht so sicher. mit aller software und so... das dauert. aber man müsste wissen, welche reg.-einträge zu löschen sind und in jedem verzeichnis oder durch schlaues suchen nach so einer doppel-exe gucken.

Sorry, aber ich denke hier hilft nur neu aufsetzen. Vieleicht bietet dir jemand eine andere elegante Loesung fuer das Problem...

Okay, ärgerlich. Aber auf jeden Fall vielen Dank für die Mühen und die Tipps,
mfG,
Alex.

nach einigem probieren bin ich mir ziemlich sicher, dass die \windows\system32\ssqpm.dll der bösewicht ist. die zu löschen habe ich aber nicht hinbekommen. Mit Killbox z.B. funktioniert's nicht. Gibt's da einen Tipp?

Mfg,
AKu

Ja, mit Combofix. Das loescht dir die Datei automatisch, allerdings wird sie nach dem Neustart sofort wieder neu erstellt.

Wenn du an der Sache noch 2 Stunden verschwenden willst,
nutze Escan nach der hier im Forum zu findenden Anleitung,
lasse den PC scannen, notiere dir die Dateien, die als infiziert gemeldet werden( Dateien aus der Systemwiederherstellung kannst du erstmal ignorieren, die SWH *nicht* deaktivieren!),
lade dir ein aktuelles Combofix herunter, starte den Rechner im abgesicherten Modus loesche die als infiziert gemeldeten Dateien(ausser die dll, das funktioniert eh nicht),
starte den Rechner neu, loesche die ssqpm.exe
starte combofix und lasse es seine Arbeit verrichten.

Danach kontrolliere, ob Escan weiterhin etwas meldet. Falls nicht, benenne die * .exe Dateien wieder in den Orginalzustand um.

Hi Ralf!
Ich hab nachts noch mehr als 2 Stunden verschwendet. Es lief drauf hinaus, dass man die dll mit nem Programm namens Unlocker dann doch löschen konnte. Würd ich aber nicht weiterempfehlen, weil man dabei ne Menge Mist anrichten kann. Dann die infizierten Dateien gelöscht und die Registry nach ssqpm abgegrast. Ich glaub jetzt bin ich sauber. Outpost und Antivier und alles andere funktionieren tadellos. Ausserdem noch selber ne leere schreibgeschützte ssqpm.dll in windows\system32 erstellt, man weiss ja nie... meinst Du das hilft? ;-)
Beste Grüsse, danke und ein frohes Fest,
Alex.

Das mit der schreibgeschuetzten Dll ist sinnlos, solche Spiele macht Escan auch gerne, aber im Endeffekt ist das nutzlos und haelt Malware nicht ab. Mache trotzdem bitte noch einen Kontrollscan mit Kasperskys onlinescan oder wahlweise einem aktuellen Escan. Nicht das du irgendwo noch eine Datei uebersehen hast!