Trojaner-Board - HTML/Rce.Gen und WORM/Agent.A.371

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - HTML/Rce.Gen und WORM/Agent.A.371 (https://www.trojaner-board.de/59243-html-rce-gen-worm-agent-a-371-a.html)

HTML/Rce.Gen und WORM/Agent.A.371

Hallo zusammen,

seit ein Freund von mir gestern seinen USB Stick an meinem Laptop benutzt hat, bekomme ich ständig Warnungen von AntiVir, dass sich der HTML-Scriptvirus HTML/Rce.Gen und der Wurm WORM/Agent.A.371 auf dem PC befinden. Die Meldungen erscheinen sofort wieder, egal ob ich die Datei in Quarantäne schiebe oder lösche. Bin hier am verzweifeln, da ich keine Ahnung von Viren usw. habe und mich ständig mit 4-5 offenen Warnmeldungen rumschlagen muss. Habe bisher keine passende Hilfe im Netz gefunden. Der Thread "Scriptvirus ?! html/rce.gen" von Locha1988 war zwar meinem Problem sehr ähnlich aber doch ein bisschen anders. Habe daher ein neuen Thread aufgemacht, bitte helft mir! Wie werde ich die wieder los?
Brauche mein Laptop dringen für mein Studium. Hier ist der Report von AntiVir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 5. September 2008 14:33

Es wird nach 1598352 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: RUMAN

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 19.07.2008 11:43:42
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 11:43:42
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 11:43:42
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 11:43:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:09:24
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 12:04:32
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 16:03:10
ANTIVIR3.VDF : 7.0.6.118 179712 Bytes 04.09.2008 01:55:16
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.04.2008 14:56:30
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 05.09.2008 01:55:18
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 20:32:40
AERDL.DLL : 8.1.1.1 397683 Bytes 05.09.2008 01:55:18
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 20:32:40
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 05.09.2008 01:55:18
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 05.09.2008 01:55:16
AEHELP.DLL : 8.1.0.15 115063 Bytes 01.06.2008 09:20:12
AEGEN.DLL : 8.1.0.36 315764 Bytes 02.09.2008 16:03:12
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 19:31:34
AECORE.DLL : 8.1.1.11 172406 Bytes 05.09.2008 01:55:16
AEBB.DLL : 8.1.0.1 53617 Bytes 19.07.2008 11:43:44
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 11:43:42
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 11:43:42
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 19:31:32
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 11:43:42
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 14:56:28
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 11:43:42
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 14:56:30
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 11:43:42
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 14:56:28
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 11:43:36
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 11:43:36

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 5. September 2008 14:33

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GUARDGUI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GUARDGUI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GUARDGUI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FIREFOX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVPND.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaConfig2500.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSCRIPT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSCRIPT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSCRIPT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FPASSIST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSCH.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTASK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZTSB10.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPCMPMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTrayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\Dokumente und Einstellungen\Drama\Lokale Einstellungen\Temp\Mskernel32.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c27e9.qua' verschoben!

Die Registry wurde durchsucht ( '71' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <DIES&DAS>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{424E9B20-1083-4264-87AF-190380BC5F3F}\RP709\A0060298.inf
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.A.371
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f1298f.qua' verschoben!
C:\WINDOWS\boot.ini
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49302a56.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Drama\Lokale Einstellungen\Temp\boot.ini
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49302cd7.qua' verschoben!
C:\Dokumente und Einstellungen\Drama\Lokale Einstellungen\Temp\Mskernel32.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492c2d27.qua' verschoben!
C:\Programme\GraphPad Prism 4.03 Installer und Patch\GraphPad Prism 4.03 - Patch.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.24576.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49223430.qua' verschoben!
Beginne mit der Suche in 'D:\' <STUDIUM>
D:\autorun.inf
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.A.371
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49353648.qua' verschoben!
D:\System Volume Information\_restore{424E9B20-1083-4264-87AF-190380BC5F3F}\RP709\A0060299.inf
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.A.371
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f1360e.qua' verschoben!

Ende des Suchlaufs: Freitag, 5. September 2008 15:40
Benötigte Zeit: 1:06:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

8856 Verzeichnisse wurden überprüft
501139 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
501128 Dateien ohne Befall
8206 Archive wurden durchsucht
3 Warnungen
8 Hinweise

Es wäre für den Anfang ja schon toll, wenn ich die Warnmeldungen wegbekäme, ich kann hier nämlich kaum 5 Wörter am Stück tippen...
Vielen Dank im Voraus für Eure Hilfe!!!

MFG Marlo

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight, Logfile posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hi und danke für die Hilfe. Hier also zunächst das HJT Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:30:14, on 06.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe

c:\Programme\Sophos\AutoUpdate\ALsvc.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\BenQ\QMusic2\QMAgent.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\RaConfig2500.exe

C:\Programme\Sophos\AutoUpdate\ALMon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\HiJackThis\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w**.gmx.net/de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://WWW.BenQ.COM/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w**.benq.com/

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [QMusic2] C:\Programme\BenQ\QMusic2\QMAgent.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\Mskernel32.vbs

O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini

O4 - HKLM\..\Run: [boottmp] wscript.exe /E:vbs C:\DOKUME~1\Drama\LOKALE~1\Temp\boot.ini

O4 - HKLM\..\Run: [MS32TMP] C:\DOKUME~1\Drama\LOKALE~1\Temp\Mskernel32.vbs

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: RaConfig2500.lnk = C:\WINDOWS\system32\RaConfig2500.exe

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe

O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=h**p://W**.BenQ.COM/

O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - h**p://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{049003F9-B567-407F-9218-66BAC32872F1}: NameServer = 213.191.74.11 213.191.92.82

O17 - HKLM\System\CCS\Services\Tcpip\..\{AD5C1DFA-5DD2-41FD-A95E-267E464D044C}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{049003F9-B567-407F-9218-66BAC32872F1}: NameServer = 213.191.74.11 213.191.92.82

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe

O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe

O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
 

--

End of file - 7929 bytes

Systemwiederherstellung habe ich deaktiviert.

MBR-Ausgabe:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

copy of MBR has been found in sector 2 !

Blacklight-Logfile:

Code:

09/06/08 16:53:41 [Info]: BlackLight Engine 1.0.70 initialized

09/06/08 16:53:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)

09/06/08 16:53:42 [Note]: 7019 4

09/06/08 16:53:42 [Note]: 7005 0

09/06/08 16:53:49 [Note]: 7006 0

09/06/08 16:53:49 [Note]: 7011 184

09/06/08 16:53:49 [Note]: 7035 0

09/06/08 16:53:49 [Note]: 7026 0

09/06/08 16:53:49 [Note]: 7026 0

09/06/08 16:53:51 [Note]: FSRAW library version 1.7.1024

09/06/08 16:54:18 [Note]: 2000 1012

09/06/08 16:54:18 [Note]: 2000 1012

09/06/08 16:54:41 [Note]: 7007 0

Erstmal HALT!

Sende mir bitte diese Dateien

C:\WINDOWS\Mskernel32.vbs
C:\WINDOWS\boot.ini

mal bitte per E-Mail. Mail an root24

Du hast mir ne legitime boot.ini geschickt. Die böse Datei, die sich als boot.ini tarnte ist wohl schon gelöscht.

Setze die Umsetzung meiner Anleitung fort.

Ich habe mir (bevor ich die Tips aus diesem Forum erhalten habe) Sophos besorgt und den AntiVir Guard deaktiviert. Habe dann mit Sophos mehrmals gescannt und alle Malware-Funde so behandelt, wie mir von Sophos geraten wurde. Mittlerweile zeigt Sophos keine Warnmeldungen mehr an und wenn ich den AntiVir Guard zwischendurch mal aktiviert habe, kamen auch keine Warnungen mehr. Ist mein Problem vielleicht schon gelöst? Soll ich trotzdem mit Combofix weitermachen?

Hier das Logfile von Silent Runners.

Code:

"Silent Runners.vbs", revision 58, http://w**.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"VTTrayp" = "VTtrayp.exe" ["S3 Graphics Co., Ltd."]

"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]

"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]

"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]

"QMusic2" = "C:\Programme\BenQ\QMusic2\QMAgent.exe" [empty string]

"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]

"HP Component Manager" = ""C:\Programme\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]

"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" ["HP"]

"HP Software Update" = ""C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"" ["Hewlett-Packard Company"]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]

"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"ISUSPM Startup" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup" ["Macrovision Corporation"]

"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["Macrovision Corporation"]

"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"MS32DLL" = "C:\WINDOWS\Mskernel32.vbs" [null data]

"winboot" = "wscript.exe /E:vbs C:\WINDOWS\boot.ini" [file not found]

"boottmp" = "wscript.exe /E:vbs C:\DOKUME~1\Drama\LOKALE~1\Temp\boot.ini" [file not found]

"MS32TMP" = "C:\DOKUME~1\Drama\LOKALE~1\Temp\Mskernel32.vbs" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"

  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"

  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"

  -> {HKLM...CLSID} = "SmartFTP Shell Extension DLL"

                   \InProcServer32\(Default) = "C:\Programme\SmartFTP Client 2.0\smarthook.dll" ["SmartFTP"]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}" = "Sophos Anti-Virus Shell Extension"

  -> {HKLM...CLSID} = "ContextMenuHandler Class"

                   \InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"

  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Ashampoo Illuminator Shell Extension\(Default) = "{9237118F-C934-45bf-B5FA-B41A733B0FBE}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\ashampoo\Ashampoo Photo Illuminator 2\IlluminatorShellExt.dll" [null data]

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"

  -> {HKLM...CLSID} = "ContextMenuHandler Class"

                   \InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"

  -> {HKLM...CLSID} = "ContextMenuHandler Class"

                   \InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

SavShellExt\(Default) = "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"

  -> {HKLM...CLSID} = "ContextMenuHandler Class"

                   \InProcServer32\(Default) = "c:\Programme\Sophos\Sophos Anti-Virus\SavShellExt.dll" ["Sophos Plc"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 
 

Default executables:

--------------------
 

<<!>> HKLM\SOFTWARE\Classes\.scr\(Default) = "scrFile"

<<!>> HKLM\SOFTWARE\Classes\scrFile\shell\open\command\(Default) = ""C:\Programme\Internet Explorer\Iexplore.exe" %1" [MS]
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Drama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Enabled Screen Saver:

---------------------
 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\scrnsave.scr" [MS]
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

PDVDPlayDVDMovieOnArrival\

"Provider" = "PowerDVD"

"InvokeProgID" = "DVD"

"InvokeVerb" = "PlayWithPowerDVD"

HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerDVD\Command\(Default) = ""C:\Programme\CyberLink\PowerDVD\PowerDVD.exe" "%L"" ["CyberLink Corp."]
 

QMusicOnArrival\

"Provider" = "BenQ QMusic"

"InvokeProgID" = "qmusic.handler"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\qmusic.handler\shell\open\command\(Default) = "C:\Programme\BenQ\QMusic2\QMusic.exe %L" ["BenQ"]
 

RPCDBurningOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.CDBurn.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]
 

RPDeviceOnArrival\

"Provider" = "RealPlayer"

"ProgID" = "RealPlayer.HWEventHandler"

HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"

  -> {HKLM...CLSID} = "RealNetworks Scheduler"

                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]
 

RPPlayCDAudioOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AudioCD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]
 

RPPlayDVDMovieOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.DVD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]
 

RPPlayMediaOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AutoPlay.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]
 

VLCPlayCDAudioOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.CDAudio"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]
 

VLCPlayDVDMovieOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.DVDMovie"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]
 
 

Startup items in "Drama" & "All Users" startup folders:

-------------------------------------------------------
 

C:\Dokumente und Einstellungen\Drama\Startmenü\Programme\Autostart

"Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"RaConfig2500" -> shortcut to: "C:\WINDOWS\system32\RaConfig2500.exe" [empty string]

"Cisco Systems VPN Client" -> shortcut to: "C:\Programme\Cisco Systems\VPN Client\vpngui.exe "-user_logon"" ["Cisco Systems, Inc."]

"AutoUpdate Monitor" -> shortcut to: "C:\Programme\Sophos\AutoUpdate\ALMon.exe" ["Sophos Plc"]
 
 

Enabled Scheduled Tasks:

------------------------
 

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 26

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherchieren"
 

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ Lite"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]
 

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
 

{E59EB121-F339-4851-A3BA-FE49C35617C2}\

"ButtonText" = "ICQ6"

"MenuText" = "ICQ6"

"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Miscellaneous IE Hijack Points

------------------------------
 

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
 

Added lines (compared with English-language version):

[Strings]: START_PAGE_URL=http://W**.BenQ.COM/
 

Missing lines (compared with English-language version):

[Strings]: 1 line
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]

AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]

Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]

Sophos Anti-Virus, SAVService, ""c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe"" ["Sophos Plc"]

Sophos Anti-Virus Statusreporter, SAVAdminService, ""c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe"" ["Sophos Plc"]

Sophos AutoUpdate Service, Sophos AutoUpdate Service, "c:\Programme\Sophos\AutoUpdate\ALsvc.exe" ["Sophos Plc"]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

CutePDF Writer Monitor\Driver = "cpwmon2k.dll" [null data]

hpzlnt10\Driver = "hpzlnt10.dll" ["HP"]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

Redirected Port\Driver = "redmonnt.dll" [null data]
 
 

---------- (launch time: 2008-09-06 19:27:08)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 42 seconds)

Ja mach mit den anderen Programmen weiter. :rolleyes:

Ich hab da einige Objekte gesehen, um zu überprüfen ob die noch da sind und um die dann auch gleich zu entfernen, musst Du mal den avenger anwenden:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

registry values to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | MS32DLL

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | winboot

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | boottmp

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | MS32TMP
 

files to delete:

C:\WINDOWS\Mskernel32.vbs

C:\WINDOWS\boot.ini

C:\DOKUME~1\Drama\LOKALE~1\Temp\boot.ini

C:\DOKUME~1\Drama\LOKALE~1\Temp\Mskernel32.vbs

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

So, hier ist das Logfile von Combofix:

Code:

ComboFix 08-09-05.09 - Drama 2008-09-08 23:44:00.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.212 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Drama\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\temp.exe

C:\WINDOWS\system32\wl.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-08 bis 2008-09-08  ))))))))))))))))))))))))))))))

.
 

2008-09-08 23:20 . 2008-09-08 23:20        <DIR>        d--------        C:\Programme\CCleaner

2008-09-06 13:06 . 2008-09-06 13:06        <DIR>        d--------        C:\WINDOWS\system32\CatRoot_bak

2008-09-05 20:00 . 2008-09-05 19:58        130,104        --a------        C:\WINDOWS\system32\sdccoinstaller.dll

2008-09-05 19:48 . 2008-09-05 19:48        <DIR>        d--------        C:\Programme\Sophos

2008-09-05 19:48 . 2008-09-05 19:48        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Cisco Systems

2008-09-05 19:48 . 2008-09-05 19:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos

2008-09-05 19:48 . 2007-03-09 09:56        17,920        --a------        C:\WINDOWS\system32\SophosBootTasks.exe

2008-09-05 19:37 . 2008-09-05 19:58        103,808        --a------        C:\WINDOWS\system32\drivers\savonaccesscontrol.sys

2008-09-05 19:37 . 2008-09-05 19:58        34,816        --a------        C:\WINDOWS\system32\drivers\savonaccessfilter.sys

2008-09-05 19:35 . 2008-09-05 19:35        <DIR>        d--------        C:\escwsa

2008-09-04 23:01 . 2008-09-04 23:01        10        -rahs----        C:\WINDOWS\Mskernel32.vbs

2008-09-04 23:01 . 2008-09-04 23:01        8        -rahs----        C:\Mskernel32.vbs

2008-08-14 22:21 . 2008-05-01 16:30        331,776        ---------        C:\WINDOWS\system32\dllcache\msadce.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\dllcache\cdm.dll

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\dllcache\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\dllcache\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\dllcache\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\dllcache\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\dllcache\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\dllcache\wuaueng.dll

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-07 20:30        253,952        ------w        C:\WINDOWS\system32\dllcache\es.dll

2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll

2008-06-24 16:22        74,240        ------w        C:\WINDOWS\system32\dllcache\mscms.dll

2008-06-23 09:49        18,432        ------w        C:\WINDOWS\system32\dllcache\iedw.exe

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-06-20 17:39        247,296        ------w        C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 17:39        148,992        ----a-w        C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 10:45        360,320        ----a-w        C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 10:44        138,368        ------w        C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 09:52        225,920        ----a-w        C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-16 16:12        3,818        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\dllcache\bthport.sys

2008-01-29 20:29        261,029,888        ----a-w        C:\Programme\Origin Pro 8.0.iso

2007-12-04 10:57        1,911,240        ----a-w        C:\Programme\daemon_tools.exe

2005-11-17 09:19        7,993,931        ----a-w        C:\Dokumente und Einstellungen\Drama\vpnclient-win-is-4.7.00.0533-k9-hd.exe

2006-11-27 19:09        56        --sh--r        C:\WINDOWS\system32\08F6A4063B.sys

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-08-12 102400]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-08-12 684032]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]

@="service"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoUpdate Monitor.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoUpdate Monitor.lnk

backup=C:\WINDOWS\pss\AutoUpdate Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk

backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RaConfig2500.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\RaConfig2500.lnk

backup=C:\WINDOWS\pss\RaConfig2500.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Drama^Startmenü^Programme^Autostart^Adobe Gamma.lnk]

path=C:\Dokumente und Einstellungen\Drama\Startmenü\Programme\Autostart\Adobe Gamma.lnk

backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-10-10 19:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_SL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-07-19 13:43 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2005-12-16 12:57 94208 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]

--a------ 2007-04-25 21:05 311296 C:\Programme\FreePDF_XP\fpassist.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2003-12-22 08:38 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-02-18 19:55 49152 C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

--a------ 2004-03-04 16:46 172032 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-08-11 16:30 249856 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-08-11 16:30 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MS32DLL]

-rahs---- 2008-09-04 23:01 10 C:\WINDOWS\Mskernel32.vbs
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QMusic2]

--a------ 2004-10-04 13:11 151552 C:\Programme\BenQ\QMusic2\QMAgent.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-09-01 15:57 282624 C:\Programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

--a------ 2004-12-20 15:10 88358 C:\WINDOWS\AGRSMMSG.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2004-07-01 18:23 67584 C:\WINDOWS\SOUNDMAN.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]

--a------ 2004-09-01 16:28 53248 C:\WINDOWS\system32\VTTimer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]

--a------ 2004-06-22 02:57 143360 C:\WINDOWS\system32\VTTrayp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"Sophos AutoUpdate Service"=2 (0x2)

"SAVService"=2 (0x2)

"SAVAdminService"=2 (0x2)

"ose"=3 (0x3)

"CVPND"=2 (0x2)

"AntiVirService"=2 (0x2)

"AntiVirScheduler"=2 (0x2)

"Adobe LM Service"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Programme\\BearShare\\BearShare.exe"=

"C:\\Programme\\Maple 10\\jre\\bin\\java.exe"=

"C:\\Programme\\Maple 10\\jre\\bin\\maple.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Programme\\Azureus\\Azureus.exe"=

"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=

"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=

"D:\\ZZZ Counterstrike\\hl.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"29144:UDP"= 29144:UDP:Azureus UDP 29144

"4662:TCP"= 4662:TCP:eMule TCP 4662

"4672:UDP"= 4672:UDP:eMule UDP 4672
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 22336]

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 15187]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-19 45376]

R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2008-09-05 103808]

R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2008-09-05 34816]

R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 15571]

S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 39936]

.

Inhalt des "geplante Tasks" Ordners

.

- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
 

MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe
 
 

.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Drama\Anwendungsdaten\Mozilla\Firefox\Profiles\ipdia18q.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://w**.spiegel.de/

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w**.gmer.net

Rootkit scan 2008-09-08 23:48:44

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-08 23:50:49 - PC wurde neu gestartet [Drama]

ComboFix-quarantined-files.txt  2008-09-08 21:50:48
 

Pre-Run: 6,603,767,808 Bytes frei

Post-Run: 7,217,414,144 Bytes frei
 

196        --- E O F ---        2008-08-15 09:04:19

und hier vom Avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\WINDOWS\Mskernel32.vbs" deleted successfully.
 

Error:  file "C:\WINDOWS\boot.ini" not found!

Deletion of file "C:\WINDOWS\boot.ini" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Drama\LOKALE~1\Temp\boot.ini" not found!

Deletion of file "C:\DOKUME~1\Drama\LOKALE~1\Temp\boot.ini" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\DOKUME~1\Drama\LOKALE~1\Temp\Mskernel32.vbs" not found!

Deletion of file "C:\DOKUME~1\Drama\LOKALE~1\Temp\Mskernel32.vbs" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MS32DLL"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MS32DLL" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winboot"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winboot" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|boottmp"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|boottmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  could not delete registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MS32TMP"

Deletion of registry value "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MS32TMP" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

vielen Danke nochmal für die super Hilfe! Hab zwar kaum Plan was ich hier eigentlich mach, aber wenns hilft... ;-)

Schau mal in den Ordner c:\avenger - da müsste ein Backupfile (backup.zip) sein. Sende mir das auch bitte per Mail. Die gelöschten Dateien interessieren mich. Ebenso das von Combofix, das sollte in c:\qoobox\... irgendwo in den Unterverzeichnissen liegen (temp.exe.vir, wl.exe.vir)

Hi, hast Du meine mail bekommen? irgendwas interessantes rausgefunden bzw. irgendwelche tips, was ich noch machen sollte?

Jo, bekommen hab ich das. Bin leider noch nicht zur Analyse gekommen, werd das gleich in Angriff nehmen. :o

Also...

Da sieht nichts nach Malware aus, nur bei Temp.exe.vir spuckten mir zwei Virenscanner ne Warnung aus, da liegt doch der Verdacht eines Fehlalarms sehr nahe.

Wie verhält sich mittlerweile Dein System? Irgendwas auffällig? Noch weitere Meldungen gekommen?

Mein System läuft mittlerweile wieder gut, ich hab schon lange keine Warnmeldung mehr erhalten. Soll ich vielleicht nochmal einen Scanner drüber laufen lassen? und wenn ja, welches programm empfiehlst Du?

AntiVir hast Du ja. Du könntest es mal mit agressiven Einstellungen scannen lassen.