Trojaner-Board - Warning! Spyware detected on....XP Antivirus 2008

Hallo zusammen,

seit gestern wird mein Rechner von einem Virus gequält der sich wie folgt zu erkennen gibt:

Auf dem Desktop erscheint anstatt des Wallpapers die Meldung:

1.

Waring! Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer!

Warning! Win32/Adware.Virtumonde
Warning! Win32/PrivacyRemover.M64

2.

Beim Start läd ein Fenster, dass mich auffordert den XP Antivirus 2008 zu installieren

3.

Im Browser (Firefox 3) werde ich, wenn ich aus Google heraus auf einen Link klicke, immer auf Werbeseiten weitergeleitet.
Seiten von den gängigen Antivirus-Programm, Onlinescans, etc. sind "tod"

Kann mir bitte jemand helfen? Wäre echt lieb, langsam nervt es :( Danke!

Anbei ein Logfile aus Highjackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:01:42, on 28.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20627)

Boot mode: Normal
 

Running processes:

C:\Windows\System32\smss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\spoolsv.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Unlocker\UnlockerAssistant.exe

C:\Programme\Java\jre1.5.0_12\bin\jusched.exe

C:\Windows\system32\ctfmon.exe

C:\Programme\a-squared Free\a2service.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Google\Google Updater\GoogleUpdater.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Windows\System32\alg.exe

C:\Windows\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

C:\Programme\Macromedia\Dreamweaver 8\Dreamweaver.exe

C:\Windows\system32\notepad.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\Windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\Windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"

O4 - HKLM\..\Run: [lphc3ddj0er3c] C:\Windows\system32\lphc3ddj0er3c.exe

O4 - HKLM\..\Run: [inrhc7ddj0er3c] C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt74.tmp.exe

O4 - HKLM\..\Run: [sysrest32.exe] C:\Windows\system32\sysrest32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\Windows\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe

O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
 

--

End of file - 7935 bytes

So da bin ich wieder:

Also los:

1. Systemwiederherstellung ist deaktiviert

2.

Sysrest ist verschwunden? kann die Datei nicht mehr finden...auch nciht bei den versteckten dateien und den prozessen

C:\Windows\system32\lphc3ddj0er3c.exe

Code:



MD5:          609e59d17a35e514caea543868134d7a

First received:         2008.08.25 09:04:49 (CET)

Datum         2008.08.26 09:56:21 (CET) [>2D]

Ergebnisse         12/36

Permalink:         analisis/4ccfb99b60b4aa1598f2ae27ba71e4b1
 

File size: 199168 bytes

MD5...: 609e59d17a35e514caea543868134d7a

SHA1..: eb5db8bc5ae5687361549197b55a4f56c5a394e5

SHA256: d566ad1822c2246a943a5c448dcc1b09b3ba1440d6c690391aa5ecc9f80e6cd4

SHA512: 7ffd7e65d75f112694607b152c93fc3d93ab10afabd1b55bd1ff5c1d1a5c0c33

ae37aa3375d02c9d3647bdddee6959c1984b8149b87d3e958311204ff1ade818

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (38.4%)

Win32 Dynamic Link Library (generic) (34.2%)

Clipper DOS Executable (9.1%)

Generic Win/DOS Executable (9.0%)

DOS Executable Generic (9.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x4066c9

timedatestamp.....: 0x48a5befd (Fri Aug 15 17:38:05 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xecfb 0x9200 7.99 67795eee06789c0a2f8e2358e9a8e0b6

.rdata 0x10000 0x3cd3 0x1800 7.97 b3c34e7072bce1c86ac8b15408500f54

.data 0x14000 0xb66fa 0x22c00 8.00 349e385fc500f5fdf2e5a7ea28e0072b

.rsrc 0xcb000 0xf000 0x3000 6.62 d2f28c23e77dbea4100179f07bcfc66f
 

( 4 imports )

> wsock32.dll: bind, WSAStartup, listen

> kernel32.dll: CreatePipe, TerminateProcess, VirtualProtect

> gdi32.dll: SetRelAbs, StretchBlt, SetICMMode, ResetDCW, UpdateColors, SaveDC, TextOutW, SetDIBColorTable

> shell32.dll: SHAppBarMessage, StrRChrIA, StrStrIA
 

( 0 exports )

Weitere dateien gefunden:

blphc3ddj0er3c.scr
phc3ddj0er3c.bmp (ist auch das desktop auf dem pc derzeit)

3. MBR Tool

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

4.1 Blacklight

startet nicht

4.2 Malwarebytes

Code:

Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1092

Windows 5.1.2600 Service Pack 2
 

19:40:30 28.08.2008

mbam-log-08-28-2008 (19-40-30).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)

Durchsuchte Objekte: 143059

Laufzeit: 23 minute(s), 21 second(s)
 

Infizierte Speicherprozesse: 1

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 6

Infizierte Registrierungswerte: 7

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 32
 

Infizierte Speicherprozesse:

C:\Windows\system32\lphc3ddj0er3c.exe (Trojan.FakeAlert) -> Unloaded process successfully.
 

Infizierte Speichermodule:

C:\Windows\system32\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc3ddj0er3c (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc7ddj0er3c (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Windows\system32\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UQ5OA14A\sysftp[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\1F.tmp (Backdoor.Rustock) -> Quarantined and deleted successfully.

C:\Neuer Ordner\blphc3ddj0er3c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Windows\Temp\33998C78.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Programme\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\system32\sysrest32.exe (Trojan.Agent) -> Delete on reboot.

C:\Windows\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.

C:\Windows\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.

C:\Windows\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.

C:\Windows\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.

C:\Windows\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.

C:\Windows\system32\lphc3ddj0er3c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Windows\system32\phc3ddj0er3c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt74.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Windows\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Wayne\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

5. Combofix

Code:



ComboFix 08-08-27.06 - Wayne 2008-08-28 20:15:00.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.621 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Wayne\Desktop\ComboFix.exe

Command switches used :: C:\Dokumente und Einstellungen\Wayne\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOOF\system32\actskn43.ocx

C:\WINDOOF\system32\dao350.dll

C:\WINDOOF\system32\drivers\232bf7cb.sys
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_SYSREST.SYS

-------\Legacy_TDSSSERV

-------\Service_232bf7cb

-------\Service_tdssserv
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-07-28 bis 2008-08-28  ))))))))))))))))))))))))))))))

.
 

2008-08-28 20:17 . 2008-08-28 20:17        <DIR>        d--------        C:\WINDOOF\system32\xircom

2008-08-28 20:17 . 2008-08-28 20:17        <DIR>        d--------        C:\Programme\microsoft frontpage

2008-08-28 20:06 . 2008-08-28 20:06        <DIR>        d--------        C:\Programme\CCleaner

2008-08-28 19:04 . 2008-08-28 19:04        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-08-28 19:04 . 2008-08-28 19:04        <DIR>        d--------        C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Malwarebytes

2008-08-28 19:04 . 2008-08-28 19:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-28 19:04 . 2008-08-17 15:01        38,472        --a------        C:\WINDOOF\system32\drivers\mbamswissarmy.sys

2008-08-28 19:04 . 2008-08-17 15:01        17,144        --a------        C:\WINDOOF\system32\drivers\mbam.sys

2008-08-28 18:50 . 2008-08-28 20:11        <DIR>        d--------        C:\Neuer Ordner

2008-08-27 20:55 . 2008-08-27 20:55        <DIR>        d--------        C:\Programme\Panda Security

2008-08-26 23:08 . 2008-08-26 23:08        <DIR>        d--------        C:\Programme\Enigma Software Group

2008-08-26 18:46 . 2008-03-07 21:44        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen

2008-08-26 18:46 . 2008-03-07 21:38        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmen

2008-08-26 18:46 . 2008-03-07 21:38        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung

2008-08-26 18:46 . 2008-03-07 21:38        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen

2008-08-26 18:46 . 2008-03-07 21:49        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Favoriten

2008-08-26 18:46 . 2008-03-07 21:49        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Eigene Dateien

2008-08-26 18:46 . 2008-03-07 21:38        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung

2008-08-26 18:46 . 2008-03-08 15:10        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird

2008-08-26 18:46 . 2008-08-26 20:40        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

2008-08-26 18:46 . 2008-08-26 18:59        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator

2008-08-26 18:15 . 2008-08-26 18:15        <DIR>        d--------        C:\Programme\Trend Micro

2008-08-02 15:45 . 2008-08-07 19:42        <DIR>        d--------        C:\SPG-Verein

2008-08-02 15:45 . 1998-10-26 10:56        436,736        --a------        C:\WINDOOF\system32\cm32b2.dll

2008-08-02 15:45 . 1998-10-22 14:44        256,000        --a------        C:\WINDOOF\system32\cm32ct5.dll

2008-08-02 15:45 . 1998-07-21 09:31        122,880        --a------        C:\WINDOOF\system32\cm32b2o.ocx

2008-08-02 15:45 . 1997-10-13 17:14        114,176        --a------        C:\WINDOOF\system32\imdt4s32.ocx

2008-08-02 15:45 . 1998-04-29 18:04        100,864        --a------        C:\WINDOOF\system32\cm32ut4.dll

2008-08-02 15:45 . 1998-10-22 14:39        63,488        --a------        C:\WINDOOF\system32\cm32cr2.dll

2008-08-02 15:45 . 1998-10-22 11:24        38,400        --a------        C:\WINDOOF\system32\cm32b200.lng

2008-08-02 15:44 . 2008-08-02 15:44        <DIR>        d--------        C:\Dokumente und Einstellungen\Wayne\WINDOWS

2008-08-02 15:44 . 1998-02-06 22:35        304,128        --a------        C:\WINDOOF\unin0407.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-28 17:40        ---------        d-----w        C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Desktopicon

2008-08-28 15:49        ---------        d-----w        C:\Programme\Mozilla Thunderbird

2008-08-27 17:19        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

2008-08-25 17:34        ---------        d-----w        C:\Programme\a-squared Free

2008-08-24 21:23        ---------        d-----w        C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\FileZilla

2008-08-06 21:12        ---------        d-----w        C:\Programme\Google

2008-07-20 19:29        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio

2008-07-20 14:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Research In Motion

2008-07-20 14:20        ---------        d-----w        C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Research In Motion

2008-07-20 14:17        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Sonic Shared

2008-07-20 14:17        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic

2008-07-20 14:17        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield

2008-07-20 14:16        ---------        d-----w        C:\Programme\Roxio

2008-07-20 14:15        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Roxio Shared

2008-07-20 13:58        ---------        d-----w        C:\Programme\Research In Motion

2008-07-02 19:38        ---------        d-----w        C:\Programme\VOX3DPlaner2

2008-07-02 18:18        ---------        d-----w        C:\Programme\Java

2008-06-30 19:24        ---------        d-----w        C:\Programme\AppleJuice

2008-06-30 16:36        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-06-30 16:35        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AVSMedia

2008-06-30 16:35        ---------        d-----w        C:\Programme\AVS4YOU

2008-06-30 16:34        ---------        d-----w        C:\Programme\Mini-stream

2008-03-07 23:41        32,768        --sha-w        C:\WINDOOF\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008030820080309\index.dat

.
 

------- Sigcheck -------
 

2007-03-17 20:06  508928  10d53e677a6962b964839073e492c84b        C:\WINDOOF\system32\winlogon.exe

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOOF\system32\ctfmon.exe" [2004-08-04 00:57 15360]

"GMX_GMX MultiMessenger"="C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-07-10 16:23 4744616]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2007-03-17 20:59 1694208]

"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 11:37 2321600]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]

"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]

"IMJPMIG8.1"="C:\WINDOOF\IME\imjp8_1\IMJPMIG.EXE" [2007-03-17 20:06 208952]

"MSPY2002"="C:\WINDOOF\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 22:31 59392]

"PHIME2002ASync"="C:\WINDOOF\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]

"PHIME2002A"="C:\WINDOOF\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]

"EPSON Stylus D68 Series"="C:\WINDOOF\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 07:00 98304]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe" [2007-03-29 13:05 90112]

"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]

"NeroFilterCheck"="C:\WINDOOF\system32\NeroCheck.exe" [2006-01-12 16:40 155648]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15 75520]

"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-08-16 08:56 236016]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"ShowDeskFix"="shell32" [X]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders        msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=

"C:\\Programme\\ICQ6\\ICQ.exe"=
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\setup.exe

.

.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Wayne\Anwendungsdaten\Mozilla\Firefox\Profiles\kf2d124h.default\

FF -: plugin - C:\Programme\Google\Google Updater\2.2.1172.2021\npCIDetect11.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava11.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava12.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava13.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava14.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJava32.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPJPI150_12.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_12\bin\NPOJI610.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-28 20:18:01

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\WINDOOF\system32\ati2evxx.exe

C:\WINDOOF\system32\ati2evxx.exe

C:\Programme\a-squared Free\a2service.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\Google\Google Updater\GoogleUpdater.exe

C:\WINDOOF\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-08-28 20:23:02 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-08-28 18:22:58
 

Pre-Run: 13 Verzeichnis(se), 21,345,013,760 Bytes frei

Post-Run: 18 Verzeichnis(se), 22,952,968,192 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOOF

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOOF="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

178

Ein riesen Danke für die Mühen im vorraus!

Das System läuft jetzt schon besser - ich komme wieder auf die Websites und mache gerade einen Onlinescan bei Panda - Desweiteren habe ich auch meinen Desktop wieder...

Der "Fall" ist aber noch nicht abgeschlossen, oder?