Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   unerklärliche warnmeldung - trojaner verdacht (https://www.trojaner-board.de/61706-unerklaerliche-warnmeldung-trojaner-verdacht.html)

Lutz123 10.10.2008 02:13
unerklärliche warnmeldung - trojaner verdacht
 
hallo zusammen,

zu meinem problem das ich seit ein paar stunden habe, bin ich auf eurer board gestoßen.

seit heute habe ich auf einmal beim surfen eine art windows firewall-meldung bekommen, auf englisch, wo ich ein programm "enable" konnte, lange rede kurzer sinn, meine windows firewall musste ich aktivieren sie war plötzich deaktiviert und danach hatte ich folgendes bzw. habe es immer noch.

http://666kb.com/i/b2tonl36tliyn64sq.jpg

beim anklicken von diesem fenster öffnet sich dann das, ich schließe es einfach, lasse es nicht zuende durchlaufen.

http://666kb.com/i/b2torm05higg4587e.jpg

hier meine HijackThis log-file, ich hoffe diese infos sagen euch etwas?

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:05:08, on 10.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\WINDOWS\system32\telcpijg.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [AplSys] C:\WINDOWS\system32\telcpijg.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
vielen dank im voraus, für die hoffentlich erfolgreiche hilfe :)

mfg
lutz

Lutz123 10.10.2008 11:33
das war die naricht, wo ich dachte es sei von windows selbst

http://666kb.com/i/b2u329snr1l2n97wv.jpg

(ich habe keinen edit button gefunden, bitte um entschuldigung!)

myrtille 10.10.2008 11:36
Hi,

arbeite bitte folgendes ab:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Lutz123 12.10.2008 02:28
hallo myrtille,

ich habe deine anweisungen befolgt.

hier der log.

Code:
ComboFix 08-10-11.02 - frohni 2008-10-12  3:12:40.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1530 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))
.

2008-10-11 03:35 . 2008-10-11 03:35        <DIR>        d--------        C:\Programme\kvldqtb
2008-10-11 03:35 . 2008-10-11 03:35        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
2008-10-11 03:35 . 2008-10-11 03:35        81,920        --a------        C:\WINDOWS\system32\ipuxudgl.exe
2008-10-10 13:36 . 2008-10-10 13:36        <DIR>        d--------        C:\WINDOWS\Content.IE5
2008-10-10 13:07 . 2008-10-10 13:07        <DIR>        d--------        C:\Programme\Yahoo!
2008-10-10 13:07 . 2008-10-10 13:07        <DIR>        d--------        C:\Programme\CCleaner
2008-10-10 03:04 . 2008-10-10 03:04        <DIR>        d--------        C:\Programme\Trend Micro
2008-10-10 02:40 . 2007-09-29 11:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 02:40 . 2007-09-29 12:48        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 02:40 . 2007-09-29 12:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 02:40 . 2007-09-29 12:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 02:40 . 2007-09-29 12:48        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 02:40 . 2007-09-29 12:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 02:40 . 2007-09-29 12:48        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 02:40 . 2008-10-10 02:40        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator
2008-10-10 02:35 . 2008-10-11 03:38        2,828        --a------        C:\WINDOWS\system32\tmp.reg
2008-10-10 00:52 . 2008-10-12 03:03        65,428        --a------        C:\WINDOWS\system32\wini104552502.exe
2008-10-10 00:50 . 2008-10-10 00:50        <DIR>        d--------        C:\Programme\cjxgsve
2008-10-10 00:50 . 2008-10-10 00:50        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
2008-09-24 00:25 . 2008-09-24 00:25        <DIR>        d--------        C:\Programme\uTorrent
2008-09-13 17:09 . 2008-09-13 17:09        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 17:08 . 2008-09-13 17:08        <DIR>        d--------        C:\Programme\PC Connectivity Solution
2008-09-13 17:07 . 2008-05-07 07:39        1,419,232        --a------        C:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-09-13 17:07 . 2008-05-07 07:38        659,968        --a------        C:\WINDOWS\system32\nmwcdcocls.dll
2008-09-13 17:07 . 2008-05-07 07:38        20,864        --a------        C:\WINDOWS\system32\drivers\ccdcmbo.sys
2008-09-13 17:07 . 2008-05-07 07:38        17,536        --a------        C:\WINDOWS\system32\drivers\ccdcmb.sys
2008-09-13 17:07 . 2008-05-07 07:38        8,064        --a------        C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2008-09-13 17:07 . 2008-06-06 09:24        8,064        --a------        C:\WINDOWS\system32\drivers\usbser_lowerflt.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 01:08        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-10-10 06:58        82,944        ----a-w        C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58        82,944        ----a-w        C:\WINDOWS\system32\IEDFix.C.exe
2008-10-09 22:50        ---------        d-----w        C:\Programme\Opera
2008-10-05 09:40        ---------        d-----w        C:\Programme\Trillian
2008-10-02 13:00        ---------        d-----w        C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\uTorrent
2008-10-01 13:51        87,552        ----a-w        C:\WINDOWS\system32\VACFix.exe
2008-09-28 16:26        ---------        d-----w        C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\OpenOffice.org2
2008-09-13 15:51        ---------        d-----w        C:\Programme\DAEMON Tools Pro
2008-09-13 15:09        ---------        d-----w        C:\Programme\Nokia
2008-09-13 15:09        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08        ---------        d-----w        C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Nokia
2008-09-08 21:38        88,576        ----a-w        C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-07 11:00        ---------        d-----w        C:\Programme\Xvid
2008-09-07 10:59        ---------        d-----w        C:\Programme\DivX
2008-09-07 10:57        ---------        d-----w        C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Apple Computer
2008-09-07 10:54        ---------        d-----w        C:\Programme\QuickTime
2008-09-07 10:53        ---------        d-----w        C:\Programme\Apple Software Update
2008-09-07 10:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-25 07:07        3,532        ----a-w        C:\drmHeader.bin
2008-08-18 10:19        82,432        ----a-w        C:\WINDOWS\system32\404Fix.exe
2008-08-15 12:33        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-08-05 22:02        524,288        ----a-w        C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02        3,596,288        -c--a-w        C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00        200,704        ----a-w        C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00        1,044,480        ----a-w        C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59        81,920        ----a-w        C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59        593,920        ----a-w        C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59        57,344        ----a-w        C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59        53,248        ----a-w        C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59        344,064        ----a-w        C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59        294,912        ----a-w        C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59        294,912        ----a-w        C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59        196,608        ----a-w        C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58        823,296        ----a-w        C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58        823,296        ----a-w        C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58        815,104        ----a-w        C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58        802,816        ----a-w        C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58        683,520        ----a-w        C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58        161,096        -c--a-w        C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58        12,288        ----a-w        C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll
2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07        270,880        ----a-w        C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07        210,976        ----a-w        C:\WINDOWS\system32\muweb.dll
2008-02-26 22:07        28,460,240        ----a-w        C:\Dokumente und Einstellungen\lutz123\DesktopEXP_mio_tc.zip
2008-01-20 00:38        191,761,053        ----a-w        C:\Dokumente und Einstellungen\lutz123\ede6.zip
2007-11-18 20:37        32        -c--a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48        32,768        -c--a-r        C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"WinSrv"="C:\WINDOWS\system32\ipuxudgl.exe" [2008-10-11 81920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"dbmnt"= {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\dbmnt.dll [2008-10-11 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\lutz123\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:08]

2008-09-27 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Mozilla\Firefox\Profiles\lm693snn.default\
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 03:16:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12  3:21:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-12 01:21:16

Vor Suchlauf: 8.979.554.304 Bytes frei
Nach Suchlauf: 8,883,105,792 Bytes frei

240        --- E O F ---        2008-09-10 07:16:42
nachdem ich dachte, alles sei wieder okay und ich diesen beitrag schreiben wollte in meinem mozilla, kam diese naricht wieder:

http://666kb.com/i/b2u329snr1l2n97wv.jpg

hat das was zu sagen bzw. wie muss ich weiterverfahren?

danke im voraus für die hilfe :)

grüße
lutz123

myrtille 13.10.2008 17:47
Hi,

Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
file::
C:\WINDOWS\system32\ipuxudgl.exe
C:\WINDOWS\system32\wini104552502.exe
folder::
C:\Programme\cjxgsve
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
C:\Programme\kvldqtb
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

Lutz123 29.10.2008 01:52
Hallo myrtille,

ich habe deine anweisungen befolgt, hier das gewünschte log.

Code:
ComboFix 08-10-28.01 - frohni 2008-10-29  1:42:43.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1541 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\frohni\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\ipuxudgl.exe
C:\WINDOWS\system32\wini104552502.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk\dspqreny.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi\pwnkjgdq.exe
C:\Programme\cjxgsve
C:\Programme\cjxgsve\monapismart.dll
C:\Programme\kvldqtb
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wini104552502.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-09-28 bis 2008-10-29  ))))))))))))))))))))))))))))))
.

2008-10-29 00:41 . 2008-10-29 00:41        98,304        --a------        C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
2008-10-29 00:41 . 2008-10-29 00:41        43,008        --a------        C:\Dokumente und Einstellungen\fwldpl.dll
2008-10-15 00:34 . 2008-10-15 00:34        1,393        --a------        C:\WINDOWS\imsins.BAK
2008-10-10 12:36 . 2008-10-10 12:36        <DIR>        d--------        C:\WINDOWS\Content.IE5
2008-10-10 12:07 . 2008-10-10 12:07        <DIR>        d--------        C:\Programme\Yahoo!
2008-10-10 12:07 . 2008-10-10 12:07        <DIR>        d--------        C:\Programme\CCleaner
2008-10-10 02:04 . 2008-10-10 02:04        <DIR>        d--------        C:\Programme\Trend Micro
2008-10-10 01:40 . 2007-09-29 10:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 01:40 . 2008-10-29 01:43        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 01:40 . 2008-10-10 01:40        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator
2008-10-10 01:35 . 2008-10-12 13:04        2,736        --a------        C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Azureus
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Apple Computer
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Ahead
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\ACD Systems
2008-10-28 23:05        ---------        d-----w        C:\Programme\Trillian
2008-10-23 08:04        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\OpenOffice.org2
2008-10-12 11:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-10-09 22:50        ---------        d-----w        C:\Programme\Opera
2008-10-02 13:00        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\uTorrent
2008-09-23 22:25        ---------        d-----w        C:\Programme\uTorrent
2008-09-15 15:37        1,846,144        ----a-w        C:\WINDOWS\system32\win32k.sys
2008-09-13 15:51        ---------        d-----w        C:\Programme\DAEMON Tools Pro
2008-09-13 15:09        ---------        d-----w        C:\Programme\Nokia
2008-09-13 15:09        ---------        d-----w        C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 15:09        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08        ---------        d-----w        C:\Programme\PC Connectivity Solution
2008-09-13 15:08        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Nokia
2008-09-07 11:00        ---------        d-----w        C:\Programme\Xvid
2008-09-07 10:59        ---------        d-----w        C:\Programme\DivX
2008-09-07 10:54        ---------        d-----w        C:\Programme\QuickTime
2008-09-07 10:53        ---------        d-----w        C:\Programme\Apple Software Update
2008-09-07 10:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-28 10:04        333,056        ----a-w        C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 07:07        3,532        ----a-w        C:\drmHeader.bin
2008-08-14 13:42        2,138,624        ----a-w        C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42        2,018,304        ----a-w        C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 22:02        524,288        ----a-w        C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02        3,596,288        -c--a-w        C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00        200,704        ----a-w        C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00        1,044,480        ----a-w        C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59        81,920        ----a-w        C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59        593,920        ----a-w        C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59        57,344        ----a-w        C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59        53,248        ----a-w        C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59        344,064        ----a-w        C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59        294,912        ----a-w        C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59        294,912        ----a-w        C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59        196,608        ----a-w        C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58        823,296        ----a-w        C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58        823,296        ----a-w        C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58        815,104        ----a-w        C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58        802,816        ----a-w        C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58        683,520        ----a-w        C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58        161,096        -c--a-w        C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58        12,288        ----a-w        C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-26 22:07        28,460,240        ----a-w        C:\Dokumente und Einstellungen\frohni\DesktopEXP_mio_tc.zip
2008-01-20 00:38        191,761,053        ----a-w        C:\Dokumente und Einstellungen\frohni\ede6.zip
2007-11-18 20:37        32        -c--a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48        32,768        -c--a-r        C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((((  snapshot@2008-10-12_ 3.20.50.28  )))))))))))))))))))))))))))))))))))))))))
.
- 2007-02-28 16:02:08        2,138,624        -c----w        C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2008-08-14 13:42:27        2,138,624        ------w        C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
- 2007-02-28 16:02:21        2,059,904        -c----w        C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2008-08-14 13:42:30        2,060,032        ------w        C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
- 2007-02-28 16:02:05        2,018,304        -c----w        C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2008-08-14 13:42:26        2,018,304        ------w        C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
- 2007-02-28 16:02:21        2,182,656        -c----w        C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2008-08-14 13:42:30        2,182,656        ------w        C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
- 2005-10-20 18:02:28        163,328        ----a-w        C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28        163,328        ----a-w        C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 06:00:00        28,672        ----a-w        C:\WINDOWS\NIRCMD.exe
+ 2000-08-31 07:00:00        28,672        ----a-w        C:\WINDOWS\NIRCMD.exe
- 2000-08-31 06:00:00        161,792        ----a-w        C:\WINDOWS\SWREG.exe
+ 2000-08-31 07:00:00        161,792        ----a-w        C:\WINDOWS\SWREG.exe
- 2008-06-20 10:44:38        138,368        -c--a-w        C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-08-14 09:51:43        138,368        -c--a-w        C:\WINDOWS\system32\dllcache\afd.sys
- 2006-08-17 12:28:44        332,288        -c--a-w        C:\WINDOWS\system32\dllcache\netapi32.dll
+ 2008-10-15 16:57:39        332,800        -c--a-w        C:\WINDOWS\system32\dllcache\netapi32.dll
- 2007-02-28 16:02:08        2,138,624        -c----w        C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
+ 2008-08-14 13:42:27        2,138,624        -c----w        C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
- 2007-02-28 16:02:21        2,059,904        -c----w        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
+ 2008-08-14 13:42:30        2,060,032        -c----w        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
- 2007-02-28 16:02:05        2,018,304        -c----w        C:\WINDOWS\system32\dllcache\ntkrpamp.exe
+ 2008-08-14 13:42:26        2,018,304        -c----w        C:\WINDOWS\system32\dllcache\ntkrpamp.exe
- 2007-02-28 16:02:21        2,182,656        -c----w        C:\WINDOWS\system32\dllcache\ntoskrnl.exe
+ 2008-08-14 13:42:30        2,182,656        -c----w        C:\WINDOWS\system32\dllcache\ntoskrnl.exe
- 2006-08-14 10:34:41        332,928        -c--a-w        C:\WINDOWS\system32\dllcache\srv.sys
+ 2008-08-28 10:04:17        333,056        -c--a-w        C:\WINDOWS\system32\dllcache\srv.sys
- 2008-03-20 08:03:19        1,845,376        -c--a-w        C:\WINDOWS\system32\dllcache\win32k.sys
+ 2008-09-15 15:37:15        1,846,144        -c--a-w        C:\WINDOWS\system32\dllcache\win32k.sys
- 2008-06-20 10:44:38        138,368        ----a-w        C:\WINDOWS\system32\drivers\afd.sys
+ 2008-08-14 09:51:43        138,368        ----a-w        C:\WINDOWS\system32\drivers\afd.sys
- 2008-08-02 09:52:26        1,525,072        ----a-w        C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-10-15 10:52:13        1,525,072        ----a-w        C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-08-26 20:28:12        16,208,504        ----a-w        C:\WINDOWS\system32\MRT.exe
+ 2008-10-07 19:19:40        16,721,856        ----a-w        C:\WINDOWS\system32\MRT.exe
- 2006-08-17 12:28:44        332,288        ----a-w        C:\WINDOWS\system32\netapi32.dll
+ 2008-10-15 16:57:39        332,800        ----a-w        C:\WINDOWS\system32\netapi32.dll
- 2008-06-24 07:04:14        84,678        ----a-w        C:\WINDOWS\system32\perfc007.dat
+ 2008-10-28 23:02:55        84,678        ----a-w        C:\WINDOWS\system32\perfc007.dat
- 2008-06-24 07:04:14        71,250        ----a-w        C:\WINDOWS\system32\perfc009.dat
+ 2008-10-28 23:02:55        71,250        ----a-w        C:\WINDOWS\system32\perfc009.dat
- 2008-06-24 07:04:14        458,924        ----a-w        C:\WINDOWS\system32\perfh007.dat
+ 2008-10-28 23:02:55        458,924        ----a-w        C:\WINDOWS\system32\perfh007.dat
- 2008-06-24 07:04:14        441,184        ----a-w        C:\WINDOWS\system32\perfh009.dat
+ 2008-10-28 23:02:55        441,184        ----a-w        C:\WINDOWS\system32\perfh009.dat
- 2007-11-30 12:39:14        18,808        ------w        C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:18:34        18,808        ------w        C:\WINDOWS\system32\spmsg.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"asus32"="C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe" [2008-10-29 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\frohni\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 19:08]

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-WinSrv - C:\WINDOWS\system32\ipuxudgl.exe
SSODL-dbmnt-{53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\dbmnt.dll



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 01:44:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-29  1:46:04
ComboFix-quarantined-files.txt  2008-10-29 00:45:50
ComboFix2.txt  2008-10-12 01:21:21

Vor Suchlauf: 8.550.006.784 Bytes frei
Nach Suchlauf: 8,540,995,584 Bytes frei

248        --- E O F ---        2008-10-25 01:01:08
achja, diese meldung bekomme ich noch, falls das von interesse ist:

http://666kb.com/i/b3cxtuq2qhvt7gm9e.jpg

danke im voraus ;-) ... und sorry für die verspätete meldung!

myrtille 29.10.2008 10:59
Hi,
mach mal damit weiter: (bitte bald, sonst vervielfältigt sich das Rogue weiter)
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
file::
C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
C:\Dokumente und Einstellungen\fwldpl.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

Lutz123 29.10.2008 12:21
so, hier nun die logs, pc wurde nach jedem scan neugestartet und antivir deaktiviert & wlan abgesteckt.

combofix

Code:
ComboFix 08-10-28.01 - frohni 2008-10-29 11:31:46.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1591 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\frohni\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
C:\Dokumente und Einstellungen\fwldpl.dll
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
C:\Dokumente und Einstellungen\fwldpl.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-09-28 bis 2008-10-29  ))))))))))))))))))))))))))))))
.

2008-10-15 00:34 . 2008-10-15 00:34        1,393        --a------        C:\WINDOWS\imsins.BAK
2008-10-10 12:36 . 2008-10-10 12:36        <DIR>        d--------        C:\WINDOWS\Content.IE5
2008-10-10 12:07 . 2008-10-10 12:07        <DIR>        d--------        C:\Programme\Yahoo!
2008-10-10 12:07 . 2008-10-10 12:07        <DIR>        d--------        C:\Programme\CCleaner
2008-10-10 02:04 . 2008-10-10 02:04        <DIR>        d--------        C:\Programme\Trend Micro
2008-10-10 01:40 . 2007-09-29 10:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 01:40 . 2008-10-29 11:33        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 01:40 . 2007-09-29 11:48        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 01:40 . 2008-10-10 01:40        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator
2008-10-10 01:35 . 2008-10-12 13:04        2,736        --a------        C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Azureus
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Apple Computer
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Ahead
2008-10-28 23:42        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\ACD Systems
2008-10-28 23:05        ---------        d-----w        C:\Programme\Trillian
2008-10-23 08:04        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\OpenOffice.org2
2008-10-12 11:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-10-09 22:50        ---------        d-----w        C:\Programme\Opera
2008-10-02 13:00        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\uTorrent
2008-09-23 22:25        ---------        d-----w        C:\Programme\uTorrent
2008-09-15 15:37        1,846,144        ----a-w        C:\WINDOWS\system32\win32k.sys
2008-09-13 15:51        ---------        d-----w        C:\Programme\DAEMON Tools Pro
2008-09-13 15:09        ---------        d-----w        C:\Programme\Nokia
2008-09-13 15:09        ---------        d-----w        C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 15:09        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08        ---------        d-----w        C:\Programme\PC Connectivity Solution
2008-09-13 15:08        ---------        d-----w        C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Nokia
2008-09-07 11:00        ---------        d-----w        C:\Programme\Xvid
2008-09-07 10:59        ---------        d-----w        C:\Programme\DivX
2008-09-07 10:54        ---------        d-----w        C:\Programme\QuickTime
2008-09-07 10:53        ---------        d-----w        C:\Programme\Apple Software Update
2008-09-07 10:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-28 10:04        333,056        ----a-w        C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 07:07        3,532        ----a-w        C:\drmHeader.bin
2008-08-14 13:42        2,138,624        ----a-w        C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42        2,018,304        ----a-w        C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 22:02        524,288        ----a-w        C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02        3,596,288        -c--a-w        C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00        200,704        ----a-w        C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00        1,044,480        ----a-w        C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59        81,920        ----a-w        C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59        593,920        ----a-w        C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59        57,344        ----a-w        C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59        53,248        ----a-w        C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59        344,064        ----a-w        C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59        294,912        ----a-w        C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59        294,912        ----a-w        C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59        196,608        ----a-w        C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58        823,296        ----a-w        C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58        823,296        ----a-w        C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58        815,104        ----a-w        C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58        802,816        ----a-w        C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58        683,520        ----a-w        C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58        161,096        -c--a-w        C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58        12,288        ----a-w        C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-26 22:07        28,460,240        ----a-w        C:\Dokumente und Einstellungen\frohni\DesktopEXP_mio_tc.zip
2008-01-20 00:38        191,761,053        ----a-w        C:\Dokumente und Einstellungen\frohni\ede6.zip
2007-11-18 20:37        32        -c--a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48        32,768        -c--a-r        C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((((  snapshot_2008-10-29_ 1.45.19,85  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-28 23:02:55        84,678        ----a-w        C:\WINDOWS\system32\perfc007.dat
+ 2008-10-29 10:24:11        84,678        ----a-w        C:\WINDOWS\system32\perfc007.dat
- 2008-10-28 23:02:55        71,250        ----a-w        C:\WINDOWS\system32\perfc009.dat
+ 2008-10-29 10:24:11        71,250        ----a-w        C:\WINDOWS\system32\perfc009.dat
- 2008-10-28 23:02:55        458,924        ----a-w        C:\WINDOWS\system32\perfh007.dat
+ 2008-10-29 10:24:11        458,924        ----a-w        C:\WINDOWS\system32\perfh007.dat
- 2008-10-28 23:02:55        441,184        ----a-w        C:\WINDOWS\system32\perfh009.dat
+ 2008-10-29 10:24:11        441,184        ----a-w        C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\frohni\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 14336]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 19:08]

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-asus32 - C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 11:34:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-29 11:36:23
ComboFix-quarantined-files.txt  2008-10-29 10:36:01
ComboFix2.txt  2008-10-29 00:46:05
ComboFix3.txt  2008-10-12 01:21:21

Vor Suchlauf: 8.510.259.200 Bytes frei
Nach Suchlauf: 8,494,718,976 Bytes frei

196        --- E O F ---        2008-10-25 01:01:08

Lutz123 29.10.2008 12:22
gmer

Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-29 11:50:37
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT    sptd.sys                                                                                                ZwCreateKey [0xB9EBE0D0]
SSDT    BA73135C                                                                                                ZwCreateThread
SSDT    sptd.sys                                                                                                ZwEnumerateKey [0xB9EC3FB2]
SSDT    sptd.sys                                                                                                ZwEnumerateValueKey [0xB9EC4340]
SSDT    sptd.sys                                                                                                ZwOpenKey [0xB9EBE0B0]
SSDT    BA731348                                                                                                ZwOpenProcess
SSDT    BA73134D                                                                                                ZwOpenThread
SSDT    sptd.sys                                                                                                ZwQueryKey [0xB9EC4418]
SSDT    sptd.sys                                                                                                ZwQueryValueKey [0xB9EC4298]
SSDT    sptd.sys                                                                                                ZwSetValueKey [0xB9EC44AA]
SSDT    BA731357                                                                                                ZwTerminateProcess
SSDT    BA731352                                                                                                ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?      C:\WINDOWS\system32\drivers\sptd.sys                                                                    Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text  USBPORT.SYS!DllUnload                                                                                  B850062C 5 Bytes  JMP 8A3D0770
?      System32\Drivers\ayt96d8b.SYS                                                                          Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT    atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                      [B9EBEAD4] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                              [B9EBEC1A] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [B9EBEB9C] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [B9EBF748] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [B9EBF61E] sptd.sys
IAT    \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                      [B9ED429A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                  8A61A1E8
Device  \Driver\usbuhci \Device\USBPDO-0                                                                        8A3D3790
Device  \Driver\dmio \Device\DmControl\DmIoDaemon                                                              8A68E1E8
Device  \Driver\dmio \Device\DmControl\DmConfig                                                                8A68E1E8
Device  \Driver\dmio \Device\DmControl\DmPnP                                                                    8A68E1E8
Device  \Driver\dmio \Device\DmControl\DmInfo                                                                  8A68E1E8
Device  \Driver\usbuhci \Device\USBPDO-1                                                                        8A3D3790
Device  \Driver\usbehci \Device\USBPDO-2                                                                        8A40E1E8
Device  \Driver\usbuhci \Device\USBPDO-3                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBPDO-4                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBPDO-5                                                                        8A3D3790
Device  \Driver\PCI_NTPNP0788 \Device\00000049                                                                  sptd.sys
Device  \Driver\usbehci \Device\USBPDO-6                                                                        8A40E1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                  8A61D1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume2                                                                  8A61D1E8
Device  \Driver\Cdrom \Device\CdRom0                                                                            8A32E1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume3                                                                  8A61D1E8
Device  \Driver\Cdrom \Device\CdRom1                                                                            8A32E1E8
Device  \Driver\atapi \Device\Ide\IdePort0                                                                      8A68D1E8
Device  \Driver\atapi \Device\Ide\IdePort1                                                                      8A68D1E8
Device  \Driver\atapi \Device\Ide\IdePort2                                                                      8A68D1E8
Device  \Driver\atapi \Device\Ide\IdePort3                                                                      8A68D1E8
Device  \Driver\Ftdisk \Device\HarddiskVolume4                                                                  8A61D1E8
Device  \Driver\Cdrom \Device\CdRom2                                                                            8A32E1E8
Device  \Driver\Cdrom \Device\CdRom3                                                                            8A32E1E8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                8931A790
Device  \Driver\NetBT \Device\NetbiosSmb                                                                        8931A790
Device  \Driver\usbuhci \Device\USBFDO-0                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBFDO-1                                                                        8A3D3790
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      892F7790
Device  \Driver\usbehci \Device\USBFDO-2                                                                        8A40E1E8
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                            892F7790
Device  \Driver\usbuhci \Device\USBFDO-3                                                                        8A3D3790
Device  \Driver\usbuhci \Device\USBFDO-4                                                                        8A3D3790
Device  \Driver\Ftdisk \Device\FtControl                                                                        8A61D1E8
Device  \Driver\usbuhci \Device\USBFDO-5                                                                        8A3D3790
Device  \Driver\usbehci \Device\USBFDO-6                                                                        8A40E1E8
Device  \Driver\Pnp680r \Device\Scsi\Pnp680r1Port0Path0Target0Lun0                                              8A61C1E8
Device  \Driver\ayt96d8b \Device\Scsi\ayt96d8b1                                                                8A2726F8
Device  \Driver\ayt96d8b \Device\Scsi\ayt96d8b1Port6Path0Target1Lun0                                            8A2726F8
Device  \Driver\JRAID \Device\Scsi\JRAID1Port5Path0Target1Lun0                                                  8A61B1E8
Device  \Driver\Pnp680r \Device\Scsi\Pnp680r1                                                                  8A61C1E8
Device  \Driver\ayt96d8b \Device\Scsi\ayt96d8b1Port6Path0Target0Lun0                                            8A2726F8
Device  \Driver\JRAID \Device\Scsi\JRAID1Port5Path0Target0Lun0                                                  8A61B1E8
Device  \Driver\Pnp680r \Device\Scsi\Pnp680r1Port0Path0Target1Lun0                                              8A61C1E8
Device  \Driver\JRAID \Device\Scsi\JRAID1                                                                      8A61B1E8
Device  \FileSystem\Cdfs \Cdfs                                                                                  894D2790

---- Registry - GMER 1.0.14 ----

Reg    HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\000ea131835d                               
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                           
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                        C:\Programme\Alcohol Soft\Alcohol 120\
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                        1
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                      0x6E 0x93 0xAA 0x7E ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                 
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew            0xB2 0x38 0x03 0xCA ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40           
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew      0x7F 0x9B 0x92 0xE5 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41           
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew      0xB0 0x80 0x9F 0x25 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                           
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                        0
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                      0x25 0xB2 0x87 0x2D ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea131835d                           
Reg    HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea131835d@001e3a27f2a8                0x29 0x5A 0x61 0xB4 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                      771343423
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                      285507792
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                      2
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                    C:\Programme\Alcohol Soft\Alcohol 120\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                    1
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                  0xDE 0x84 0xB3 0xCF ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001             
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0            0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew        0xB2 0x38 0x03 0xCA ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew  0x7F 0x9B 0x92 0xE5 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew  0x7F 0x9B 0x92 0xE5 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                    0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                  0x25 0xB2 0x87 0x2D ...
Reg    HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ea131835d                               
Reg    HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ea131835d@001e3a27f2a8                    0x29 0x5A 0x61 0xB4 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                           
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                        C:\Programme\Alcohol Soft\Alcohol 120\
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                        1
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                      0xDE 0x84 0xB3 0xCF ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                 
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew            0xB2 0x38 0x03 0xCA ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40           
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew      0x7F 0x9B 0x92 0xE5 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41           
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew      0x7F 0x9B 0x92 0xE5 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                           
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                        0
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                      0x25 0xB2 0x87 0x2D ...
Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                 
Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OOSAFEERASE03.00.00.01MSWINDOWS                 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

---- EOF - GMER 1.0.14 ----

Lutz123 29.10.2008 12:23
catchme

Code:
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 11:53:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\000ea131835d]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:6e,93,aa,7e,58,4e,9d,30,d7,60,5f,62,fd,e1,c7,78,92,fe,2e,de,9a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:25,b2,87,2d,eb,b3,47,8c,07,6f,80,89,1b,1f,38,f5,ab,7a,98,7f,c2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ea131835d]
"001e3a27f2a8"=hex:29,5a,61,b4,bd,69,40,7b,1f,97,6e,1a,ec,32,20,66
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:de,84,b3,cf,3b,c8,a7,3b,63,a8,b5,93,a0,8d,d0,4a,e9,41,7a,0f,6f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:25,b2,87,2d,eb,b3,47,8c,07,6f,80,89,1b,1f,38,f5,ab,7a,98,7f,c2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ea131835d]
"001e3a27f2a8"=hex:29,5a,61,b4,bd,69,40,7b,1f,97,6e,1a,ec,32,20,66
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:de,84,b3,cf,3b,c8,a7,3b,63,a8,b5,93,a0,8d,d0,4a,e9,41,7a,0f,6f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:25,b2,87,2d,eb,b3,47,8c,07,6f,80,89,1b,1f,38,f5,ab,7a,98,7f,c2,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Lutz123 29.10.2008 12:24
rootkitreveal

Code:
HKU\.DEFAULT\Control Panel\International        29.10.2008 11:36        0 bytes        Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo        29.10.2008 11:36        0 bytes        Security mismatch.
HKU\S-1-5-21-682003330-1844823847-2147090535-1003\Control Panel\International        29.10.2008 11:36        0 bytes        Security mismatch.
HKU\S-1-5-21-682003330-1844823847-2147090535-1003\Control Panel\International\Geo        29.10.2008 11:36        0 bytes        Security mismatch.
HKU\S-1-5-21-682003330-1844823847-2147090535-1003        01.01.1601 01:00        0 bytes        Error dumping hive: Internal error.
HKU\S-1-5-18\Control Panel\International        29.10.2008 11:36        0 bytes        Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo        29.10.2008 11:36        0 bytes        Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*        29.09.2007 11:24        0 bytes        Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*        29.09.2007 11:24        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        29.10.2008 12:01        80 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\        22.05.2008 17:54        19 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*        20.10.2007 18:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg        27.01.2008 17:01        0 bytes        Access is denied.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll        05.01.2008 23:23        252.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll        05.01.2008 23:23        111.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll        05.01.2008 23:23        8.00 KB        Visible in Windows API, but not in MFT or directory index.

myrtille 29.10.2008 12:50
Die Logs sehen soweit ok aus, wie gehts dem Rehcner?

lg myrtille

Lutz123 29.10.2008 12:52
bis jetzt ganz gut, noch kam keine meldung o.ä. auf.
muss ich befürchten das noch etwas drauf sein könnte bzw. im "hintergrund" ist?

myrtille 29.10.2008 13:12
Hi,

die Möglichkeit, das irgendwo etwas unbemerkt bleibt, besteht leider immer.
Wir haben jetzt schon sehr genau hingeguckt, und es ist derzeit nichts mehr zu sehen.

Deswegen würde ich annehmen, dass du nun sauber bist. Wenn du wirklich jedes Risiko ausschließen willst, dann empfiehlt sich ein Neuaufsetzen.

Ansonsten mache bitte mit folgendem weiter:

Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst.
Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates.
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg myrtille

Lutz123 29.10.2008 13:27
okay, combofix ist deinstalliert, windows updates sind auch alle drauf.

gibt es noch software-empfehlungen (freeware), die einen vor so etwas schützen? antivir & die windows-firewall, haben anscheinend nicht gelangt.

die neuaufsetzung des systems wollte ich mir eigentlich ersparen, deshalb ruhte meine hoffnung hier drauf :)

danke nochmals, für die prompte hilfe!


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:45 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131