Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BDS/Frauder.bu befall?? (https://www.trojaner-board.de/59274-bds-frauder-bu-befall.html)

grandh 05.09.2008 22:31
BDS/Frauder.bu befall??
 
Hallo,

ich hab mir über ne Seite einen Virus eingefangen. Ich denke mal es ist der XP 2008.
Ich hab nach meinen Symptomen gegoogelt und folgendes gefunden:
BDS/Frauder.bu - Vollstndig

Genau mit dem Teil hab ich mich infiziert.
Ich hatte auch noch das Problem, dass die Links von google und anderen Suchseiten verändert worden sind, Downloads abgeborchen haben und viele Seiten garnicht verfügbar waren.
Ich hab jedenfalls die Regestryeinträge wieder entfernt und Dann Avira Spybot S&D und Malwarebytes drüberlaufen lassen.
die Fehler sindjetzt alle behoben, aber wich würde gerne wissen ob ich auch clean bin.
Ich weiß ,ohne neu aufsetzen kann man nie 100% clean sein, aber das würde ich mir gerne erpsaren.

Wäre nett wenn ihr mal über meine Logs drüberschauen könnt:


Zitat:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1118
Windows 5.1.2600 Service Pack 3

05.09.2008 22:05:14
mbam-log-2008-09-05 (22-05-14).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47122
Laufzeit: 1 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:44, on 05.09.2008
Achte bitte zukünftig darauf das du aktive Links im Hijacklog deaktivierst.
Hier eine Erklärung dazu -> http://www.trojaner-board.de/22770-a...log-files.html

Anbei noch das Log von Avira. Das war der erste Schritt den ich gemacht habe.

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 05. September 2008 19:48

Es wird nach 1598352 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HARALD

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 25.07.2008 20:44:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 25.07.2008 20:44:01
LUKE.DLL : 8.1.4.5 164097 Bytes 25.07.2008 20:44:01
LUKERES.DLL : 8.1.4.0 12545 Bytes 25.07.2008 20:44:01
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 17:12:12
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:54:02
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 16:53:58
ANTIVIR3.VDF : 7.0.6.118 179712 Bytes 04.09.2008 18:29:17
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 24.04.2008 15:42:58
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 03.09.2008 18:30:03
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 16:28:56
AERDL.DLL : 8.1.1.1 397683 Bytes 03.09.2008 18:30:02
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 16:28:54
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 03.09.2008 18:30:01
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 03.09.2008 18:30:00
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 15:18:12
AEGEN.DLL : 8.1.0.36 315764 Bytes 20.08.2008 16:45:18
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 15:43:26
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 18:29:58
AEBB.DLL : 8.1.0.1 53617 Bytes 25.07.2008 20:44:01
AVWINLL.DLL : 1.0.0.12 15105 Bytes 25.07.2008 20:44:01
AVPREF.DLL : 8.0.2.0 38657 Bytes 25.07.2008 20:44:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:43:24
AVREG.DLL : 8.0.0.1 33537 Bytes 25.07.2008 20:44:01
AVARKT.DLL : 1.0.0.23 307457 Bytes 24.04.2008 15:42:57
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 25.07.2008 20:44:01
SQLITE3.DLL : 3.3.17.1 339968 Bytes 24.04.2008 15:42:57
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 25.07.2008 20:44:01
NETNT.DLL : 8.0.0.1 7937 Bytes 24.04.2008 15:42:57
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 25.07.2008 20:43:59
RCTEXT.DLL : 8.0.52.0 86273 Bytes 25.07.2008 20:43:59

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 05. September 2008 19:48

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Aware2007.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atitray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'arpwrmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'arservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '69' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kfhzu34j.default\Cache\270E303Fd01
[0] Archivtyp: CAB SFX (self extracting)
--> \0x0407.ini
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\.tt44.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\.tt5.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\.tt6.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\nsd3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\nsi4B.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\nst3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Freitag, 05. September 2008 20:39
Benötigte Zeit: 51:23 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8877 Verzeichnisse wurden überprüft
442718 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
6 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
442709 Dateien ohne Befall
8762 Archive wurden durchsucht
4 Warnungen
6 Hinweise

Dort steht allerdings nichts von dem BDS/Frauder.bu. Symptome waren aber genau die selben.

grandh 06.09.2008 10:02
Sorry für das Hijack Log. Hab einen Link übersehen.
Hier nochmal die ausgebesserte Version!

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:42, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\windows\system\hpsysdrv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\HP_Administrator\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.0.70:8080/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [ALCMTR] ALCMTR.EXE
O4 - HKLM\..\Run: [UpdReg] UpdReg.exe
O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0
O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe
O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] C:\WINDOWS\system32\Fi2.32tcr2.2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: ATI Tray Tools.lnk = C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8BC53B30-32E4-4ED3-BEF9-DB761DB77453} (CInstallLPCtrl Object) - h**p://u3.sandisk.com/download/apps/LPInstaller.CAB
O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} (SlimClient Class) - h**ps://remote.upc.at/SNX/CSHELL/extender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{433A806C-911E-46FC-B354-E58A596668EC}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

--
End of file - 8166 bytes

Sunny 06.09.2008 10:32
Hallo grandh und

http://www.mysmilie.de/generator/ablage/156/257.png




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\Fi2.32tcr2.2.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

grandh 06.09.2008 10:42
Hallo Sunny!

Hier erstmal der Virustotal Report:


Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.9.6.0        2008.09.06        -
AntiVir        7.8.1.28        2008.09.05        -
Authentium        5.1.0.4        2008.09.06        -
Avast        4.8.1195.0        2008.09.05        -
AVG        8.0.0.161        2008.09.05        -
BitDefender        7.2        2008.09.06        -
CAT-QuickHeal        9.50        2008.09.06        -
ClamAV        0.93.1        2008.09.06        -
DrWeb        4.44.0.09170        2008.09.06        -
eSafe        7.0.17.0        2008.09.03        -
eTrust-Vet        31.6.6072        2008.09.05        -
Ewido        4.0        2008.09.05        -
F-Prot        4.4.4.56        2008.09.06        -
F-Secure        8.0.14332.0        2008.09.06        -
Fortinet        3.112.0.0        2008.09.06        -
GData        19        2008.09.06        -
Ikarus        T3.1.1.34.0        2008.09.06        Trojan-Clicker.Win32.VB.wj
K7AntiVirus        7.10.443        2008.09.05        -
Kaspersky        7.0.0.125        2008.09.06        -
McAfee        5378        2008.09.05        -
Microsoft        1.3903        2008.09.06        -
NOD32v2        3422        2008.09.06        -
Norman        5.80.02        2008.09.05        -
Panda        9.0.0.4        2008.09.05        -
PCTools        4.4.2.0        2008.09.05        -
Prevx1        V2        2008.09.06        -
Rising        20.60.52.00        2008.09.06        -
Sophos        4.33.0        2008.09.06        -
Sunbelt        3.1.1610.1        2008.09.05        -
Symantec        10        2008.09.06        -
TheHacker        6.3.0.8.072        2008.09.04        -
TrendMicro        8.700.0.1004        2008.09.05        -
VBA32        3.12.8.5        2008.09.05        -
ViRobot        2008.9.5.1365        2008.09.06        Trojan.Win32.Clicker.472401
VirusBuster        4.5.11.0        2008.09.05        -
Webwasher-Gateway        6.6.2        2008.09.05        -
weitere Informationen
File size: 443908 bytes
MD5...: 839b22c7c3435ba64ad03fcb3f7784c9
SHA1..: 852b868774aff9df86ee714a8da88fc98b3ce4c0
SHA256: 217b5252ebec0aa3e5b388295f9fea1866baa8e712a91d9cb7e1206e6b51a7f5
SHA512: 3dfa93ae770ce0fcf64338e703533ca3d9c48e0e75f49150d7ae03585f5a8e64
0334767fc8863dd5cfacfe6b71c7eae45de8238d663b5bd5ef74ad5ab46d3d86
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4027e1
timedatestamp.....: 0x3c6197e1 (Wed Feb 06 20:53:53 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4025 0x5000 5.71 26636061225507891e85e8c1da341e79
.rdata 0x6000 0xc9c 0x1000 4.52 94c6e87629ddfa9332179f670627f71a
.data 0x7000 0x1e58 0x1000 5.78 024f745144c10ceb56fa47f69fd00762
.rsrc 0x9000 0x94ac 0xa000 3.12 7005e80d6562155c65b29eccba95f409

( 4 imports )
> KERNEL32.dll: _lcreat, _llseek, _lread, GetTempPathA, GetSystemDefaultLangID, DeleteFileA, _lwrite, SetCurrentDirectoryA, CreateDirectoryA, GetDiskFreeSpaceA, lstrcatA, WritePrivateProfileStringA, CreateProcessA, CloseHandle, _lopen, _lclose, lstrlenA, TerminateProcess, GetCurrentProcess, GetStringTypeA, LCMapStringW, GetStringTypeW, MultiByteToWideChar, LoadLibraryA, LCMapStringA, GetOEMCP, GetACP, GetProcAddress, WriteFile, RtlUnwind, GetCPInfo, GetStdHandle, SetHandleCount, GetFileType, GetEnvironmentStrings, lstrcpyA, GetEnvironmentStringsW, GetModuleFileNameA, GetLastError, FreeEnvironmentStringsA, UnhandledExceptionFilter, FreeEnvironmentStringsW, HeapReAlloc, VirtualAlloc, HeapCreate, GetPrivateProfileStringA, lstrcmpA, HeapFree, HeapAlloc, ExitProcess, WideCharToMultiByte, HeapDestroy, VirtualFree, GetFileAttributesA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion
> USER32.dll: LoadCursorA, RegisterClassA, RegisterClassExA, UpdateWindow, LoadIconA, LoadStringA, CreateWindowExA, ShowWindow, GetClientRect, SendMessageA, GetWindowRect, wsprintfA, DefWindowProcA, MessageBoxA, BeginPaint, MsgWaitForMultipleObjects, PeekMessageA, DestroyWindow, DrawTextA, EndPaint, GetMessageA, PostQuitMessage, PostMessageA, GetDesktopWindow, TranslateMessage, DispatchMessageA
> GDI32.dll: SelectObject, GetDeviceCaps, SetBkMode, CreateFontA
> COMCTL32.dll: -

( 0 exports )

grandh 06.09.2008 11:03
Und hier das Combofix Log.

Code:
ComboFix 08-09-05.02 - HP_Administrator 2008-09-06 11:52:18.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1527 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\dao350.dll

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((  Dateien erstellt von 2008-08-06 bis 2008-09-06  ))))))))))))))))))))))))))))))
.

2099-02-12 22:05 . 2099-02-12 22:05        <DIR>        d--hs----        C:\Boot
2099-02-12 22:05 . 2006-11-02 11:53        438,840        -rahs----        C:\bootmgr
2099-02-12 22:05 . 2099-02-12 22:05        8,192        -ra-s----        C:\BOOTSECT.BAK
2008-09-06 11:45 . 2008-09-06 11:45        <DIR>        d--------        C:\Programme\CCleaner
2008-09-05 23:57 . 2008-09-05 23:57        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-05 23:56 . 2008-09-05 23:56        <DIR>        d--------        C:\WINDOWS\system32\Kaspersky Lab
2008-09-05 22:02 . 2008-09-05 22:02        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-09-05 22:02 . 2008-09-05 22:02        <DIR>        d--------        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-05 22:02        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-02 00:16        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-05 22:02 . 2008-09-02 00:16        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 21:02 . 2008-09-05 21:02        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-09-05 21:02 . 2008-09-06 11:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-01 22:51 . 2008-09-01 22:51        <DIR>        d--------        C:\Programme\uTorrent
2008-09-01 22:51 . 2008-09-04 22:39        <DIR>        d--------        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\uTorrent
2008-08-18 18:25 . 2008-08-18 18:25        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Skype
2008-08-15 20:08 . 2008-08-16 00:52        <DIR>        d--------        C:\flatout
2008-08-13 21:08 . 2008-05-01 16:34        331,776        ---------        C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 21:07 . 2008-04-11 21:04        691,712        ---------        C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 20:54 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-13 20:54 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-13 20:54 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-13 20:52 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-13 20:22 . 2008-08-29 18:22        <DIR>        d--------        C:\Programme\Suunto Activity Manager
2008-08-13 20:08 . 2006-05-24 04:42        102,400        -ra------        C:\WINDOWS\system32\FTLang.dll
2008-08-13 20:08 . 2006-05-18 03:49        61,067        -ra------        C:\WINDOWS\system32\drivers\ftser2k.sys
2008-08-13 20:08 . 2006-05-19 05:51        33,360        -ra------        C:\WINDOWS\system32\ftserui2.dll
2008-08-13 20:07 . 2006-05-24 04:40        188,416        -ra------        C:\WINDOWS\system32\ftdiunin.exe
2008-08-13 20:07 . 2006-05-24 04:45        176,128        -ra------        C:\WINDOWS\system32\ftd2xx.dll
2008-08-13 20:07 . 2006-05-24 04:47        106,496        -ra------        C:\WINDOWS\system32\ftbusui.dll
2008-08-13 20:07 . 2006-05-18 03:48        47,249        -ra------        C:\WINDOWS\system32\drivers\ftdibus.sys
2008-08-13 20:07 . 2006-05-24 05:04        133        -ra------        C:\WINDOWS\system32\ftdiun2k.ini

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 08:52        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-05 21:31        ---------        d-----w        C:\Programme\Mozilla Thunderbird
2008-09-05 19:20        ---------        d-----w        C:\Programme\BearShare
2008-09-05 19:10        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-04 19:58        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Skype
2008-09-04 19:56        ---------        d-----w        C:\Programme\Steam
2008-09-04 19:21        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\skypePM
2008-09-01 21:40        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-09-01 21:09        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Azureus
2008-09-01 16:54        ---------        d-----w        C:\Programme\Lexmark X1100 Series
2008-08-30 15:14        ---------        d-----w        C:\Programme\mIRC
2008-08-25 15:52        42,067        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\mdbu.bin
2008-08-24 16:29        ---------        d-----w        C:\Programme\HappyFoto
2008-08-24 16:24        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\HappyFoto
2008-08-18 16:25        ---------        d-----w        C:\Programme\Skype
2008-08-18 16:25        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-05 17:57        ---------        d-----w        C:\Programme\Team MediaPortal
2008-08-01 12:20        ---------        d-----w        C:\Programme\Java
2008-07-13 13:23        137,840        ----a-w        C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-06 15:02        ---------        d-----w        C:\Programme\MCEDev.com
2008-07-06 15:01        ---------        d-----w        C:\Programme\UltraVNC
2008-07-06 14:59        ---------        d-----w        C:\Programme\Electronic Arts
2008-07-06 14:58        ---------        d-----w        C:\Programme\DynamicPhotoHDR
2008-06-01 16:26        46,232        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-22 18:49        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-01-19 14:44        1        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\SI.bin
2006-12-24 11:35        0        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\wklnhst.dat
2006-11-22 17:06        251        ----a-w        C:\Programme\wt3d.ini
2006-11-21 19:40        22        --sha-w        C:\WINDOWS\SMINST\HPCD.sys
2007-04-24 18:12        900        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"CTSysVol"="C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 61440]
"ftutil2"="ftutil2.dll" [2004-06-07 C:\WINDOWS\system32\ftutil2.dll]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 C:\WINDOWS\arpwrmsg.exe]
"UpdReg"="UpdReg.exe" [2000-05-11 C:\WINDOWS\Updreg.EXE]
"CtxfiReg"="CTxfiReg.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIREG.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"YouP-PAX 3.63.03 Tone Color Restorer"="C:\WINDOWS\system32\Fi2.32tcr2.2.exe" [2007-05-31 443908]
"CTxfiReg"="CTxfiReg.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIREG.EXE]
"CTxfiHlp"="CTxfiHlp.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2006-04-09 21:59 24674 C:\WINDOWS\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMAScheduler]
--a------ 2006-04-13 10:05 90112 c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"x10nets"=2 (0x2)
"PnkBstrA"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Service.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\scc.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SDS.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Diagnostics.exe"=
"C:\\Programme\\Xming\\Xming.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R1 atitray;atitray;C:\Programme\Ray Adams\ATI Tray Tools\atitray.sys [2007-05-22 18088]
R2 CP_OMDRV;Check Point Office Mode Module;C:\WINDOWS\system32\drivers\omdrv.sys [2006-04-09 36400]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;C:\WINDOWS\system32\DRIVERS\vnasc.sys [2006-04-09 109072]
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys [2006-04-09 671472]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys [2006-04-09 2234320]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [ ]
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys [2006-02-19 61536]
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys [2006-02-19 9264]
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys [2006-02-19 97056]
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys [2006-02-19 88560]
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys [2006-02-19 86368]
S3 WN5301;LIteon Wireless PCI Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wn5301.sys [2005-10-05 468768]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01c02430-7a4e-11db-8408-0018f3353912}]
\Shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{806c4850-7987-11db-b44d-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-RTHDCPL - RTHDCPL.EXE
MSConfigStartUp-lphcpg0j0ee5e - C:\WINDOWS\system32\lphcpg0j0ee5e.exe
MSConfigStartUp-PCDrProfiler - C:\Programme\PC-Doctor 5 for Windows\RunProfiler.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kfhzu34j.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.tirol.com
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 11:56:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 12:00:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-06 10:00:06

Pre-Run: 14 Verzeichnis(se), 26,592,669,696 Bytes frei
Post-Run: 21 Verzeichnis(se), 26,504,105,984 Bytes frei

212        --- E O F ---        2008-07-10 20:18:46
Danke!

Sunny 06.09.2008 11:19
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
FILE::
C:\WINDOWS\system32\Fi2.32tcr2.2.exe


DIRLOOK::
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.


Mach im nachhinein noch einen Fullscan mit Antivir nach diesen Einstellungen:


Avira Antivir - Agressive Einstellungen

Gruß
Sunny

grandh 06.09.2008 11:31
So hier nochmal das Combofix Log nach obiger Anweisung:

Code:
ComboFix 08-09-05.02 - HP_Administrator 2008-09-06 12:26:09.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1593 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Fi2.32tcr2.2.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-08-06 bis 2008-09-06  ))))))))))))))))))))))))))))))
.

2099-02-12 22:05 . 2099-02-12 22:05        <DIR>        d--hs----        C:\Boot
2099-02-12 22:05 . 2006-11-02 11:53        438,840        -rahs----        C:\bootmgr
2099-02-12 22:05 . 2099-02-12 22:05        8,192        -ra-s----        C:\BOOTSECT.BAK
2008-09-06 11:45 . 2008-09-06 11:45        <DIR>        d--------        C:\Programme\CCleaner
2008-09-05 22:02 . 2008-09-05 22:02        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-09-05 22:02 . 2008-09-05 22:02        <DIR>        d--------        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-05 22:02        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-02 00:16        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-05 22:02 . 2008-09-02 00:16        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 21:02 . 2008-09-05 21:02        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-09-05 21:02 . 2008-09-06 11:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-01 22:51 . 2008-09-01 22:51        <DIR>        d--------        C:\Programme\uTorrent
2008-09-01 22:51 . 2008-09-04 22:39        <DIR>        d--------        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\uTorrent
2008-08-18 18:25 . 2008-08-18 18:25        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Skype
2008-08-15 20:08 . 2008-08-16 00:52        <DIR>        d--------        C:\flatout
2008-08-13 21:08 . 2008-05-01 16:34        331,776        ---------        C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 21:07 . 2008-04-11 21:04        691,712        ---------        C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 20:54 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\system32\de
2008-08-13 20:54 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-08-13 20:54 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-08-13 20:52 . 2008-08-13 20:54        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-08-13 20:22 . 2008-08-29 18:22        <DIR>        d--------        C:\Programme\Suunto Activity Manager
2008-08-13 20:08 . 2006-05-24 04:42        102,400        -ra------        C:\WINDOWS\system32\FTLang.dll
2008-08-13 20:08 . 2006-05-18 03:49        61,067        -ra------        C:\WINDOWS\system32\drivers\ftser2k.sys
2008-08-13 20:08 . 2006-05-19 05:51        33,360        -ra------        C:\WINDOWS\system32\ftserui2.dll
2008-08-13 20:07 . 2006-05-24 04:40        188,416        -ra------        C:\WINDOWS\system32\ftdiunin.exe
2008-08-13 20:07 . 2006-05-24 04:45        176,128        -ra------        C:\WINDOWS\system32\ftd2xx.dll
2008-08-13 20:07 . 2006-05-24 04:47        106,496        -ra------        C:\WINDOWS\system32\ftbusui.dll
2008-08-13 20:07 . 2006-05-18 03:48        47,249        -ra------        C:\WINDOWS\system32\drivers\ftdibus.sys
2008-08-13 20:07 . 2006-05-24 05:04        133        -ra------        C:\WINDOWS\system32\ftdiun2k.ini

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 08:52        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-05 21:31        ---------        d-----w        C:\Programme\Mozilla Thunderbird
2008-09-05 19:20        ---------        d-----w        C:\Programme\BearShare
2008-09-05 19:10        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-04 19:58        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Skype
2008-09-04 19:56        ---------        d-----w        C:\Programme\Steam
2008-09-04 19:21        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\skypePM
2008-09-01 21:40        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-09-01 21:09        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Azureus
2008-09-01 16:54        ---------        d-----w        C:\Programme\Lexmark X1100 Series
2008-08-30 15:14        ---------        d-----w        C:\Programme\mIRC
2008-08-25 15:52        42,067        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\mdbu.bin
2008-08-24 16:29        ---------        d-----w        C:\Programme\HappyFoto
2008-08-24 16:24        ---------        d-----w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\HappyFoto
2008-08-18 16:25        ---------        d-----w        C:\Programme\Skype
2008-08-18 16:25        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-05 17:57        ---------        d-----w        C:\Programme\Team MediaPortal
2008-08-01 12:20        ---------        d-----w        C:\Programme\Java
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-13 13:23        137,840        ----a-w        C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-13 13:23        111,928        ----a-w        C:\WINDOWS\system32\PnkBstrB.exe
2008-07-07 20:26        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-07-07 20:26        253,952        ------w        C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 15:02        ---------        d-----w        C:\Programme\MCEDev.com
2008-07-06 15:01        ---------        d-----w        C:\Programme\UltraVNC
2008-07-06 14:59        ---------        d-----w        C:\Programme\Electronic Arts
2008-07-06 14:58        ---------        d-----w        C:\Programme\DynamicPhotoHDR
2008-06-24 16:42        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42        74,240        ------w        C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:14        3,592,192        ----a-w        C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20        70,656        ----a-w        C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20        625,664        ----a-w        C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20        13,824        ------w        C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23        161,792        ----a-w        C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46        247,296        ------w        C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46        147,968        ------w        C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51        361,600        ------w        C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40        138,496        ------w        C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08        225,856        ------w        C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32        273,024        ------w        C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-01 16:26        46,232        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-22 18:49        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-01-19 14:44        1        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\SI.bin
2006-12-24 11:35        0        ----a-w        C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\wklnhst.dat
2006-11-22 17:06        251        ----a-w        C:\Programme\wt3d.ini
2006-11-21 19:40        22        --sha-w        C:\WINDOWS\SMINST\HPCD.sys
2007-04-24 18:12        900        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((((((((((  Look  )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp ----

2008-09-06 12:25        720896        --a------        C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\irsetup.exe
2008-09-06 12:01        173        --a------        C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\jusched.log
2007-10-21 21:40        94208        --a------        C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\KAVA.tmp


((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"CTSysVol"="C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 61440]
"ftutil2"="ftutil2.dll" [2004-06-07 C:\WINDOWS\system32\ftutil2.dll]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 C:\WINDOWS\arpwrmsg.exe]
"UpdReg"="UpdReg.exe" [2000-05-11 C:\WINDOWS\Updreg.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"CTxfiReg"="CTxfiReg.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIREG.EXE]
"CTxfiHlp"="CTxfiHlp.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIHLP.EXE]

C:\Dokumente und Einstellungen\HP_Administrator\Startmen\Programme\Autostart\
ATI Tray Tools.lnk - C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe [2007-05-22 521128]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2006-04-09 21:59 24674 C:\WINDOWS\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMAScheduler]
--a------ 2006-04-13 10:05 90112 c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"x10nets"=2 (0x2)
"PnkBstrA"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Service.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\scc.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SDS.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Diagnostics.exe"=
"C:\\Programme\\Xming\\Xming.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R1 atitray;atitray;C:\Programme\Ray Adams\ATI Tray Tools\atitray.sys [2007-05-22 18088]
R2 CP_OMDRV;Check Point Office Mode Module;C:\WINDOWS\system32\drivers\omdrv.sys [2006-04-09 36400]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;C:\WINDOWS\system32\DRIVERS\vnasc.sys [2006-04-09 109072]
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys [2006-04-09 671472]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys [2006-04-09 2234320]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [ ]
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys [2006-02-19 61536]
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys [2006-02-19 9264]
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys [2006-02-19 97056]
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys [2006-02-19 88560]
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys [2006-02-19 86368]
S3 WN5301;LIteon Wireless PCI Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wn5301.sys [2005-10-05 468768]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01c02430-7a4e-11db-8408-0018f3353912}]
\Shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{806c4850-7987-11db-b44d-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-RunOnce-YouP-PAX 3.63.03 Tone Color Restorer - C:\WINDOWS\system32\Fi2.32tcr2.2.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 12:27:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 12:28:05
ComboFix-quarantined-files.txt  2008-09-06 10:27:52
ComboFix2.txt  2008-09-06 10:00:11

Pre-Run: 14 Verzeichnis(se), 26,557,218,816 Bytes frei
Post-Run: 20 Verzeichnis(se), 26,539,114,496 Bytes frei

215        --- E O F ---        2008-07-10 20:18:46

grandh 06.09.2008 12:35
Antivir Komplettscan mit obigen Einstellungen ist auch durch.
Es wurde nichts mehr gefunden.

Ich hoffe ich bin jetzt wirklich sauber.

Vielen Dank für die Hilfe, ist wirklich ein super Board hier!!!!!

:party::dankeschoen::party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131