Trojaner-Board - Hartnäckiges Explorerverhalten (Trojaner?)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hartnäckiges Explorerverhalten (Trojaner?) (https://www.trojaner-board.de/56369-hartnaeckiges-explorerverhalten-trojaner.html)

Hartnäckiges Explorerverhalten (Trojaner?)

Hallo,

nach login auf den Dresdnerbank-Seiten werden TANs abgefragt. Die habe ich natürlich nicht eingegeben und die Bank angerufen. Der Zugang ist erst einmal gesperrt, aber ich finde die Ursache nicht. Nach wie vor kommt diese Seite über den Explorer- egal wie ich mich einlogge. Mozilla zeigt mir sofort an, dass mein Zugang gesperrt ist.

Ich habe AntiVir, Norton, Spybot, Spyware Doctor, Ewido Antispyware und viele Tools online, offline, im abgesichtertern Modus und teilweise von BootCD (auf einem anderen Rechner erstellt) laufen lassen. Diese Programme finden alle nichts. Zusätzlich habe ich manuell alle BHOs im Explorer, auf der Festplatte und in der Registry gelöscht. Ferner habe ich alle nicht zuordbaren Prozesse und Dienste beendet.

Mein HijackThis-Logfile sieht so aus:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

COMOFIX hat folgendes Log erstellt:

ComboFix 08-07-19.1 - *** 2008-07-20 17:15:27.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msvcsv60.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}

((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 ))))))))))))))))))))))))))))))
.

2008-07-20 14:59 . 2008-07-20 15:29 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-20 14:59 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-20 14:59 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-20 14:59 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-20 14:59 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-20 14:57 . 2008-07-20 14:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-20 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 10:29 . 2008-07-20 10:30 <DIR> d-------- C:\Programme\BHODemon 2
2008-07-19 12:23 . 2001-06-29 19:40 29,696 --a------ C:\WINDOWS\system32\flcss.exe
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-17 07:51 . 2008-07-17 07:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-16 23:32 . 2008-07-16 23:32 62 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:42 . 2008-07-16 23:31 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2008-07-16 15:41 . 2008-07-16 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
2008-07-16 15:40 . 2008-07-16 23:27 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:26 . 2008-07-20 17:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-13 10:22 . 2008-07-13 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-07-13 10:08 . 2008-07-13 10:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-13 10:08 . 2008-07-20 17:08 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 12:56 --------- d-----w C:\Programme\Lavasoft
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-16 13:40 106,496 ----a-w C:\WINDOWS\system32\ATL71.DLL
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-28 14:00 --------- d-----w C:\Programme\Sun
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"HijackThis startup scan"="C:\Programme\Trend Micro\HijackThis\HijackThis.exe" [2008-07-18 16:17 396288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
S3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
S3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-RunServices-SchedulingAgent - C:\WINDOWS\system32\mstask.exe
MSConfigStartUp-Deskup - C:\Programme\Iomega\DriveIcons\deskup.exe
MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-PinnacleDriverCheck - C:\WINDOWS\system32\\PSDrvCheck.exe
MSConfigStartUp-TkBellExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-zzzHPSETUP - F:\Setup.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 17:19:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 17:23:31 - machine was rebooted [Bj”rn Walde]
ComboFix-quarantined-files.txt 2008-07-20 15:23:27

Pre-Run: 13 Verzeichnis(se), 27,235,381,248 Bytes frei
Post-Run: 15 Verzeichnis(se), 27,162,865,664 Bytes frei

241 --- E O F --- 2008-07-18 14:17:31

Combofix hat folgende Dateien in Quarantäne gestellt:

2003-02-13 15:45 29184 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\MSINET.oca.vir
2008-07-16 15:08 32 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\msvcsv60.dll.vir
2008-07-20 17:17 1458 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}.reg.dat
2008-07-20 17:17 2588 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}.reg.dat
2008-07-20 17:17 54 --a------ C:\Qoobox\Quarantine\catchme.log
2008-07-20 17:23 143 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-RunServices-SchedulingAgent.reg.dat
2008-07-20 17:23 526 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-zzzHPSETUP.reg.dat
2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Deskup.reg.dat
2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-iTunesHelper.reg.dat
2008-07-20 17:23 606 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-PinnacleDriverCheck.reg.dat
2008-07-20 17:23 662 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-TkBellExe.reg.dat

WAS KANN ICH NOCH VERSUCHEN??? Ist eine Neuformatierung und -installation unumgänglich?

Halli hallo.

Die logs und die Problembeschreibung lassen auf nichts Gutes schließen.

Ich würde den Rechner formatieren. Liegt aber in deinem ermessen. Wenn wir eine Bereinigung versuchen sollen dann sag bescheid. Ansonsten poste ich dir mal einen kleinen Leitfaden an die Hand um den rechner wieder frisch zu machen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo Undoreal,

vielen Dank für Deine Mühe.

Sehr gerne würde ich eine Bereinigung probieren. Das MBR log poste ich heute Abend.

Hmmm... ich habe noch 2 Wochen alte images meiner Festplatten. Kann ich die vorher überprüfen? Oder macht das gar keinen Sinn?

Gruß
BJörn

Wenn du Images hast dann spiele die doch einfach zurück..

ich habe nur Bedenken, dass die auch verseucht sind...

Hattest du zu dem Zeitpunkt denn schon Probleme?

Das kann ich halt nicht mit Gewißheit sagen...

Meinst Du, ich kann den MBR einfach so nach Booten einer Windowsstart-CD mit fdisk /mbr oder fixmbr retten? Diese Tipps habe ich auf anderen Seiten gefunden.

Es muss garnicht sein, dass dein MBR verseucht ist aber eine Überprüfung ist seit es den Sinowal gibt immer angebracht bevor man neuaufsetzt. Reine Vorsichtismaßnahme.. ;)

MBR gab mir folgenden Text im log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x1ca !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Mal 'ne doofe Frage: Muss ich das System neu installieren oder kann ich jetzt Reste des Viruses/Trojaners irgendwie so entfernen?

Du musst nicht neuinstallieren! Wir können auch gerne eine Bereinigung versuchen, dass habe ich dir ja unten schon gepostet.

Allerdings würde ich gerne anders vorgehen um uns beiden eine Menge Arbeit zu ersparen.

Spiele doch bitte das Image von vor zwei Wochen zurück.

Poste dann ein Hijackthis und ein Combofix log. Danach sehen wir weiter.

Das mit dem Image habe ich gestern Nacht noch probiert. Der Rechner verhält sich genau so wie vorher und der MBR Code war auch wieder da.

Ich habe heute morgen also wieder den MBR mit MBR.BAT (und MBR.EXE) gefixt und danach Avira Antivir von einer Boot CD (Rescue CD Linux?) laufen lassen. Er hat bislang folgende Codes im Verzeichnis von Mozilla und ComboFix gefunden:

- Tool.PV
- NivCMD.E.1.B
- NivCMD.E.2.B
- NicCMDC
- Radmin.131072

Das Programm läuft noch und ich hoffe, ich kann heute Mittag sagen, ob es die Funde auch reparieren/löschen konnte.

Kann ich sonst noch etwas machen? Ich habe Angst, dass wenn ich Windows starte, sich der Virus/Trojaner wieder aktiviert. Daher hatte ich von CD gebootet.

Soll ich die beiden logfiles trotzdem noch posten? (Dazu müsste ich ja Windows wieder starten.)

Habe mir noch die Computer-Bild gekauft und die Notfall CD laufen lassen, also Kaspersky unter Linux. Es gab einmal Code 10 und einmal Code 15. Leider finde ich nicht, was das bedeutet.

Ich mich jetzt getraut Windows zu starten und AniVir, Mwav, MBR etc... laufen lassen.

Antivir zeigt mir jetzt nur noch einen Fehler im BootSektor an: BOO/Sinolwal.A

MBR findet nichts und das Antivir Bootsektor Rettungstool zeigt auch an, dass der Bootsektor in Ordnung ist.

Soll ich jetzt noch einmal alle Logs posten?

Poste bitte ein frisches Hijackthis log und lasse Combofix laufen. Poste auch dieses log.

All das hatte ich dir weiter unten schon gepostet und ich habe wenig Lust dreimal danach zu fragen..

Sorry, ich hatte halt Angst, Windows einfach so wieder zu starten. Ich hoffe, dass ich den BOO/Sinowal.A jetzt entfernen konnte. Anbei aktuelle Log. Ich wäre Dir für ein "Drüberschauen" echt dankbar. Soll ich jetzt noch etwas machen?

COMBOFIX-LOG:

ComboFix 08-07-20.7 - Björn Walde 2008-07-22 20:30:59.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2466 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\Aufräumen\Combofix\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-22 bis 2008-07-22 ))))))))))))))))))))))))))))))
.

2008-07-22 18:08 . 2008-07-22 18:09 6,506,863 --a------ C:\WINDOWS\REGBK00.ZIP
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-07-22 18:05 . 2008-07-22 18:05 26 --a------ C:\WINDOWS\Lic.xxx
2008-07-22 18:04 . 2008-07-22 18:10 <DIR> d-------- C:\escan
2008-07-22 18:04 . 2008-04-14 04:22 153,600 --a------ C:\WINDOWS\R.COM
2008-07-22 18:04 . 2008-04-14 04:23 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-07-22 18:01 . 2008-07-22 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Björn Walde
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-21 15:56 . 2008-07-21 15:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-21 15:56 . 2008-07-21 15:56 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-20 18:50 . 2008-07-20 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-20 14:57 . 2008-07-20 21:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-20 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 10:29 . 2008-07-20 10:30 <DIR> d-------- C:\Programme\BHODemon 2
2008-07-19 12:23 . 2001-06-29 19:40 29,696 --a------ C:\WINDOWS\system32\flcss.exe
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-17 07:51 . 2008-07-17 07:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-16 23:32 . 2008-07-16 23:32 62 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:42 . 2008-07-16 23:31 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2008-07-16 15:41 . 2008-07-16 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
2008-07-16 15:40 . 2008-07-16 23:27 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:26 . 2008-07-20 21:06 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-13 10:22 . 2008-07-13 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-07-13 10:08 . 2008-07-13 10:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-13 10:08 . 2008-07-20 17:08 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 19:03 --------- d-----w C:\Programme\Lavasoft
2008-07-20 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
S3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
S3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O17 -: HKLM\CCS\Interface\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-22 20:34:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-22 20:37:29 - machine was rebooted [Bj”rn Walde]
ComboFix-quarantined-files.txt 2008-07-22 18:37:25
ComboFix2.txt 2008-07-22 16:01:27
ComboFix3.txt 2008-07-20 19:47:09
ComboFix4.txt 2008-07-20 15:23:32

Pre-Run: 13 Verzeichnis(se), 26,000,850,944 Bytes frei
Post-Run: 15 Verzeichnis(se), 26,090,647,552 Bytes frei

232 --- E O F --- 2008-07-18 14:17:31

HiJack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:27, on 22.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 4935 bytes

MBR-LOG:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Hallo Form-Mitglieder,

ich muss gestehen, dass ich hier neu bin

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke. :)

[/edit]

@undoreal:

Kannst Du in den Logs noch etwas auffälliges finden?

Dieses Mal hat Combofix noch andere Dateien gefunden, die eher noch etwas schimmer sind als vor dem zurückspielen der Images...

Mach, den Rechner platt. Sonst erlebst du irgendwann evtl. ein ganz böses Erwachen!

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Danke Dir für eneute Durchsicht.

Hatte gehofft, jetzt clean zu sein, da sämtliche Virenscanner auch von Boot CD nichts mehr gefunden haben.

Hmmm.... eine manuelle Bereinigung ist also nicht möglich?

Ich habe gesehen, dass einige von Combofix angezeigte "Programme" so benannte leere Ordner waren. Diese habe ich gelöscht. Anbei noch einmal frische Logs.

MBR

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

HIJACK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:08:45, on 24.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5009 bytes

COMBOFIX

ComboFix 08-07-20.7 - Björn Walde 2008-07-24 7:59:09.6 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\Aufräumen\Combofix\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-24 07:57 . 2008-07-24 07:57 268 --ah----- C:\sqmdata00.sqm
2008-07-24 07:57 . 2008-07-24 07:57 244 --ah----- C:\sqmnoopt00.sqm
2008-07-23 17:09 . 2008-07-24 07:57 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-23 17:08 . 2008-03-07 19:02 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-23 17:08 . 2008-03-07 19:02 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-23 17:08 . 2008-03-07 19:02 29,696 -----c--- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-07-22 20:46 . 2008-07-22 20:47 <DIR> d-------- C:\Temp
2008-07-22 18:01 . 2008-07-22 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Björn Walde
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-20 18:50 . 2008-07-20 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-20 14:57 . 2008-07-20 21:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-22 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-16 23:32 . 2008-07-22 21:14 104 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:08 . 2008-07-22 22:30 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 18:47 --------- d-----w C:\Programme\Lavasoft
2008-07-20 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-16 13:40 106,496 ----a-w C:\WINDOWS\system32\ATL71.DLL
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-24_ 7.51.29.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-24 05:03:07 121,848 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-24 05:56:08 112,042 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-07-24 05:03:07 94,040 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-24 05:56:08 94,040 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-07-24 05:03:07 578,322 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-24 05:56:08 553,498 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-07-24 05:03:07 520,576 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-24 05:56:08 520,576 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=C:\WINDOWS\pss\Windows Search.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
R3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
R3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
R3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O17 -: HKLM\CCS\Interface\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 08:03:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 8:06:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-24 06:06:39
ComboFix2.txt 2008-07-24 05:51:53
ComboFix3.txt 2008-07-22 18:37:30

Pre-Run: 13 Verzeichnis(se), 25,894,268,928 Bytes frei
Post-Run: 15 Verzeichnis(se), 25,880,576,000 Bytes frei

233 --- E O F --- 2008-07-18 14:17:31

Zitat:

eine manuelle Bereinigung ist also nicht möglich?

doch, birgt aber extreme risiken.

Außerdem sind die logs vor und nach dem Image wiedersprüchlich und in beiden Fällen sehr als äußerst gefährlich einzustufen wesshaöb ich eine Bereinigung nicht empfehlen kann.

Wärest Du bereit, mich durch eine manuelle Bereinigung zu führen?

Wie gesagt, ich hatte heute morgen die leeren Ordner mit den auffälligen Namen einfach gelöscht und dann noch einmal Combofix und HijackThis Logs oben gepostet.

Ich habe jetzt noch nach einigen Einträgen gegoogelt und würde dann folgende Dateien einfach löschen und dann noch einmal die Logs posten.

C:\WINDOWS\system32\ATL71.DLL
C:\WINDOWS\system32\drivers\bthport.sys
C:\WINDOWS\system32\EioPal.dll
C:\WINDOWS\system32\wshext.dll

Soll ich so erst einmal vorgehen, bevor Du mich führen könntest, oder soll ich Deine Anweisungen abwarten?

Warum möchtest du denn nicht neuaufsetzen??

Aus sicherheitstechnischen Aspekten wäre das wohl sinnvoll, aber ich werde wohl mit diesem Rechner nicht mehr online gehen. Ich habe jede Menge Musiksoftware darauf laufen, d.h. viele Programme, PlugIns und auch meine Musik-Projekte. Ich besitze zwar die Original-Software, aber die neue Konfiguration von alle dem würde mich bestimmt weitere 14 Nächte kosten.

Bis vor 5 Jahren habe ich meine Rechner noch selber zusammen gebaut und auch getuned. Der Ehrgeiz "schlauer zu sein" als diese Seuchprogramme und diesen Beizukommen ist auch vorhanden. Daher interessiert es mich auch aus dieser Sicht, welche Programme die Übeltäter sind und wie man sie wieder beseitigt. Die letzten Tage hier im Forum hatten zwar einen traurigen Anlass, aber ich habe auch wieder viel gelernt. Zumal Du meintest, dass man eine Bereinigung versuchen könnte, wäre eine Anleitung von Dir prima.

Ich war echt überrascht, dass Du immer noch Übeltäter in den Logs finden konntest, da ich dachte nun sei ich clean. Wie gesagt, habe ich alle Einträge 'mal abgegoogelt und bin dann auf die oben genannten gestossen, die ich jetzt einfach löschen würde und dann wieder Logs posten würde.

Was schlägst Du vor? Soll ich so vorgehen oder auf Deine Anweisungen warten?

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollte das log zu lang sein so kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

9) Systemanalyse:
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.

Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.

Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.

Unter File -> Database Update Start drücken.

Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.

Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Das war 'mal eine Aufgabe, aber jetzt ist alles durch. Da der text zu lang ist in 2 Teilen.

1. Blacklight: keine Funde
2. Combofix bei deaktivierter Firewall durchgeführt. Log steht unten.
3. SASW im normalen und abgesicherten Modus durchgeführt. Nichts gefunden.
4. Maleware Bytes: nichts gefunden
5. CCleaner hat aufgeräumt.
6. Frisches HijackThis Log ist unten.
7. iClean mehrfach laufen lassen.
8. AVZ-Zip File ist unter:
http://rapidshare.com/files/132180978/avz_sysinfo.zip.html

- Ist der Rechner nun clean?
- Kann ich Java wieder installieren? (Einige Soundeditoren laufen nur unter Java)
- Kann ich wieder online gehen, oder sollte ich das lassen auf diesem Rechner?

BLACKLIGHT:

07/24/08 15:56:51 [Info]: BlackLight Engine 1.0.70 initialized
07/24/08 15:56:51 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/24/08 15:56:51 [Note]: 7019 4
07/24/08 15:56:51 [Note]: 7005 0
07/24/08 15:57:09 [Note]: 7006 0
07/24/08 15:57:10 [Note]: 7011 1560
07/24/08 15:57:10 [Note]: 7035 0
07/24/08 15:57:10 [Note]: 7026 0
07/24/08 15:57:10 [Note]: 7026 0
07/24/08 15:57:13 [Note]: FSRAW library version 1.7.1024
07/24/08 16:01:45 [Note]: 2000 1012
07/24/08 16:02:04 [Note]: 7007 0

COMBOFIX:

ComboFix 08-07-20.7 - Björn Walde 2008-07-24 16:04:11.7 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2588 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\Aufräumen\Combofix\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-24 16:03 . 2008-07-24 16:03 268 --ah----- C:\sqmdata00.sqm
2008-07-24 16:03 . 2008-07-24 16:03 244 --ah----- C:\sqmnoopt00.sqm
2008-07-23 17:09 . 2008-07-24 07:57 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-07-23 17:08 . 2008-03-07 19:02 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-07-23 17:08 . 2008-03-07 19:02 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-07-23 17:08 . 2008-03-07 19:02 29,696 -----c--- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-07-22 20:46 . 2008-07-22 20:47 <DIR> d-------- C:\Temp
2008-07-22 18:01 . 2008-07-22 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Björn Walde
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-20 18:50 . 2008-07-20 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-20 14:57 . 2008-07-20 21:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-22 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-16 23:32 . 2008-07-22 21:14 104 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:08 . 2008-07-22 22:30 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-24 13:50 --------- d-----w C:\Programme\Lavasoft
2008-07-20 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=C:\WINDOWS\pss\Windows Search.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
R3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
R3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
R3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\XXX\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O17 -: HKLM\CCS\Interface\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 16:08:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 16:11:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-24 14:11:13
ComboFix2.txt 2008-07-24 06:06:45
ComboFix3.txt 2008-07-24 05:51:53
ComboFix4.txt 2008-07-22 18:37:30

Pre-Run: 13 Verzeichnis(se), 32,955,146,240 Bytes frei
Post-Run: 15 Verzeichnis(se), 32,947,216,384 Bytes frei

222 --- E O F --- 2008-07-18 14:17:31

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:46, on 24.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5097 bytes

iClean (gekürzt):

iclean log 24.07.2008 21:21:44

Windows XP SP3, Using advanced Kernel functions

Processes
---------
632 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
684 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
708 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
752 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
764 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
956 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1120 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1212 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1260 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1364 - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1916 - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe - Acronis Scheduler 2
1932 - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
2020 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
248 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 91.47
496 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\UAService7.exe - SecuROM User Access Service (V7).
1492 - C:\Programme\Windows Media Player\WMPNetwk.exe - Windows Media Player-Netzwerkfreigabedienst
1664 - C:\WINDOWS\Explorer.EXE - Windows Explorer
2224 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2844 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
3020 - TrueImageMonito - TrueImageMonito
3044 - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe - Acronis Scheduler Helper
3156 - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
3180 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
3188 - C:\Programme\Windows Media Player\WMPNSCFG.exe - Windows Media Player Network Sharing Service Configuration Application
3196 - SUPERAntiSpywar - SUPERAntiSpywar
3808 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
3472 - E:\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe=AcrSch2Svc
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\avira\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\avira\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HTTPFilter
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=upnphost
c:\windows\system32\uaservice7.exe=UserAccess7
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\programme\windows media player\wmpnetwk.exe=WMPNetworkSvc
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WudfSvc
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: ctfmon.exe=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MsnMsgr="c:\programme\windows live\messenger\msnmsgr.exe" /background
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKCU\Run: WMPNSCFG=c:\programme\windows media player\wmpnscfg.exe
000=HKLM\Run: Acronis Scheduler2 Service="c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
000=HKLM\Run: avgnt="c:\programme\avira\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: ISUSPM Startup=c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: TrueImageMonitor.exe=c:\programme\acronis\trueimage\trueimagemonitor.exe
000=HKLM\Run: Windows Media Connect 2="c:\programme\windows media connect 2\wmccfg.exe" /startquiet
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\messenger\msmsgs.exe=c:\programme\messenger\msmsgs.exe
001=Firewall bypass: D:\Programme\Mountain Systems, Inc\Behringer FCB1010 MIDI PC Editor Utility\FCB1010.exe=
001=Firewall bypass: D:\Programme\Yahoo!\Messenger\YServer.exe=d:\programme\yahoo!\messenger\yserver.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=C:\WINDOWS\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)

Startup Folders
---------------
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
127.0.0.1 localhost

Die logs sind sauber.

Java kannst du wieder installieren.

Yeah !!! Super. Ich danke Dir wirklich vielmals. Kann ich mich irgendwie für Deine Hilfe erkenntlich zeigen?

Zitat:

Kann ich mich irgendwie für Deine Hilfe erkenntlich zeigen?

Halte deinen Rechner sauber und tue so der gesammten WorldWideWeb Community etwas gutes.. ;)

Nochmals vielen, vielen, liebe Dank !!!:aplaus: