Trojaner-Board - Recycler\ — Festplattenzugriff beinträchtigt

Hallo

Ich wende mich letzlich dann auch mal mit einem Thread an euch, nachdem ich die letzten 24 Stunden durch das lesen in diversen Thread eine linderung, aber keine völlige Bereinigung erfuhr.

Bei mir handelt es sich um das Problem dass diese ganzen User hier auch schon hatten (und ich gelesen habe).

http://www.abload.de/img/recyclertvxs.jpg

Die Vorgeschichte:

Ich habe eine fragliche Datei aus dem Netz geladen und danach einen Bluescreen gehabt. Nach dem starten kam ich allerdings noch in Windows und hate aber eben den besagten Fehler. Interessant ist, dass ich auf die Platten (entgegen der anderen User in den Threads) noch zugreifen kann, wenn ich einfach in der Baum-Struktur auf den Laufwerksbuchstaben drücke.

Mein System wird eigentlich geschützt mit ESET NOD32 Antivirus.

Da ich alle Threads und Google-Ergebnisse zum Thema las, habe ich auch schon diverse Logs mit Malwarebytes, HiJackThis und Eset gemacht. Mit HiJackThis fand sich am anfang auch gefährliche Einträge die ich löschte (und ich leider jetzt nichtmehr sagen kann wie diese hießen).

Ich habe das System einmal komplett neu aufgezogen von der Recovery-CD meines Notebooks (Windows Home Edition) und der Fehler trat aber immernoch auf C: auf. Ich dachte mir, dass dies vielelicht sei, weil die Recovery-CD das System nur überschreibt, nicht aber Formatiert. Ich formatiere daher C: und zog es wieder mit der Recovery-CD auf und C war zu dem Zeitpunkt nichtmehr mit diesem Fehler befallen.

Der Aktuelle Zustand:

Mein Windows XP Home Edition hat nun (nach dem format+recovery) alle aktuellen Updates inkl. SP3, wird geschützt durch ESET NOD32 Antivirus 4 (Studentenversion) und Zonealarm Firewall 6.5 (Freeware). Ich habe mit CCleaner die Registry geprüft und gesäubert.

Letzlich existiert das Problem nurnoch auf G: (Eine Truecrypt-verschlüsselte Platte) die nach dem Mounten diesen Fehler nennt. Der Trick mit dem löschen der Autoruns half bei mir nicht. Ich habe auch noch einen USB-Stick sowie zwei weitere externe Platten (Truecrypt verschlüsselt, waren auch gemountet als das Problem erstmals auftrat) die in meinen Augen nun allerdings auch kompromittiert sind und wo ich jetzt schon ratlos vorstehe die nach dem Mounten zu reinigen.

Malwarebytesm, ESET (Lokal- wie Onlinescanner) und HijackThis können keine Fehler feststellen (weder auf C noch auf dem gemounteten G). Deher erbitte ich Hilfe von euch als meine letzet Hoffnung. :heulen:

Was kann ich noch probieren damit es weggeht?

Meine Logs:

HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:53:28, on 06.04.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\RemoteControlService.exe

C:\Programme\Intel\Wireless\Bin\OProtSvc.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\ASUS\ASUS Live Update\ALU.exe

C:\Programme\ASUS\Wireless Console\wcourier.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\ASUS\Power4 Gear\BatteryLife.exe

C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EOUWiz.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programme\ASUS\Asus ChkMail\ChkMail.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\TrueCrypt\TrueCrypt.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe

O4 - HKLM\..\Run: [Wireless Console] C:\Programme\ASUS\Wireless Console\wcourier.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe

O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 

--

End of file - 5715 bytes

Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1945

Windows 5.1.2600 Service Pack 3
 

06.04.2009 22:09:14

mbam-log-2009-04-06 (22-09-14).txt
 

Scan-Methode: Vollständiger Scan (C:\|G:\|)

Durchsuchte Objekte: 182026

Laufzeit: 3 hour(s), 25 minute(s), 28 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Microsoft Malware Removing Tool
(Der log ist nicht kopierbar, aber es wurden 2 TRojaner gefunden und entfernt. Leider habe ich mir vor dem klicken auf schleissen nicht notiert wie sie hiessen. Verdammt. Ich lass es derzeit nochmal laufen...)

Eset

Code:

Scan Log

Version of virus signature database: 3989 (20090406)

Date: 06.04.2009  Time: 16:17:11

Scanned disks, folders and files: Operating memory;G:\Boot sector;G:\
 

Number of scanned objects: 133655

Number of threats found: 0

Time of completion: 20:59:07  Total scanning time: 16916 sec (04:41:56)

Software-Liste:

Code:

Adobe Reader 7.0

Asus ChkMail

ASUS Enhanced Display Driver

ASUS GameFace Live

ASUS Live Update

ASUS Probe V2.12

ASUS VideoSecurity Online

Asus_A_Series_ScreenSaver

ATI Control Panel

ATI Display Driver

ATK0100 ACPI UTILITY

BisonCam, NB Pro

CCleaner (remove only)

ESET NOD32 Antivirus

ESET Online Scanner

HDAUDIO SoftV92 Data Fax Modem with SmartCP

High Definition Audio - KB888111

HijackThis 2.0.2

Intel(R) PROSet/Wireless Software

Malwarebytes' Anti-Malware

Mozilla Firefox (3.0.8)

MSXML 4.0 SP2 (KB954430)

Power4 Gear

Realtek High Definition Audio Driver

Remote Controller

Synaptics Pointing Device Driver

TrueCrypt

Windows Genuine Advantage Validation Tool (KB892130)

Windows XP Service Pack 3

WinFlash

Wireless Console

ZoneAlarm

Nachtrag:
Der Inahlt einer der gelöschten autorun.inf war übrigens

Code:

[autorun]

;bzhznxrbkoabnlvmaoekbildfksftgetgvsmdiimcmaoyktsehgsbcedrbuolkkobbnxn

shellexecute="RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com d:\"

;sdywnfykmdkaaixficjxhysuqystwjkzomwmpzzrai

shell\Open\command="RECYCLER\S-2-2-78-100026122-100015138-100005506-6534.com d:\"

;zrelxafdykbcbrixwgaxsfkepjnyecw

shell=Open

Ich kam da (hoffentlich) gefahrlos dran, indem ich in der Registry die Autorun-Ausführung für angeschlossene Geräte unterband und damit (so hoffe ich) gefahrlos auf den USB-Stick zugreifen kann. Ich lasse paralel dazu weiter Tests laufen ob es wirklich ohne Folgen war...

Und als letztes im Ablauf der Log von Combofix (Die ganzen Tutorials die ich dazu las machen einem ja wirklich angst, die Maus auch nur dabei zu bewegen :zzwhip: )
Ich hoffe ihr könnt mir aufgrund der Infos nun etwas sagen :singsing:

Ich danke schonmal im Vorraus. Ich finde dieses Forum ist eine SEHR gute Sache. Danke.

Code:

ComboFix 09-04-04.01 - *** 2009-04-07  1:21:31.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.2047.1553 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)

FW: ZoneAlarm Firewall *disabled*

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-03-06 bis 2009-04-06  ))))))))))))))))))))))))))))))

.
 

2009-04-06 23:04 . 2009-04-06 23:04        12        --a------        c:\windows\bthservsdp.dat

2009-04-06 22:43 . 2008-04-13 20:45        26,368        --a------        c:\windows\system32\dllcache\usbstor.sys

2009-04-06 16:15 . 2009-04-06 16:15        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\TrueCrypt

2009-04-06 16:14 . 2009-04-06 16:14        <DIR>        d--------        c:\programme\TrueCrypt

2009-04-06 16:14 . 2009-04-06 16:15        215,872        --a------        c:\windows\system32\drivers\truecrypt.sys

2009-04-06 16:11 . 2009-04-06 16:11        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-04-06 16:11 . 2009-04-06 16:11        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2009-04-06 16:11 . 2009-04-06 16:11        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-04-06 16:11 . 2009-03-26 16:49        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-06 16:11 . 2009-03-26 16:49        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-04-06 16:08 . 2009-04-06 16:08        <DIR>        d--------        c:\programme\CCleaner

2009-04-06 15:43 . 2009-04-06 15:43        <DIR>        d--------        c:\programme\MSXML 4.0

2009-04-06 15:27 . 2009-04-06 15:27        <DIR>        d--------        c:\windows\system32\de-de

2009-04-06 15:27 . 2009-04-06 15:27        <DIR>        d--------        c:\windows\system32\de

2009-04-06 15:27 . 2009-04-06 15:27        <DIR>        d--------        c:\windows\system32\bits

2009-04-06 15:27 . 2009-04-06 15:27        <DIR>        d--------        c:\windows\l2schemas

2009-04-06 15:23 . 2009-04-06 15:23        <DIR>        d--------        c:\windows\ServicePackFiles

2009-04-06 15:14 . 2009-04-06 15:14        <DIR>        d--------        c:\windows\EHome

2009-04-06 15:04 . 2009-04-06 15:04        <DIR>        d--------        c:\programme\ESET

2009-04-06 15:04 . 2009-04-06 15:04        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET

2009-04-06 14:52 . 2008-06-14 19:32        273,024        ---------        c:\windows\system32\dllcache\bthport.sys

2009-04-06 14:51 . 2009-04-06 14:51        <DIR>        d--------        c:\programme\Trend Micro

2009-04-06 14:51 . 2008-12-12 19:01        3,088,896        ---------        c:\windows\system32\dllcache\mshtml.dll

2009-04-06 14:51 . 2008-08-14 15:19        2,191,488        ---------        c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-06 14:51 . 2008-08-14 15:19        2,147,840        ---------        c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-06 14:51 . 2008-08-14 15:19        2,068,352        ---------        c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-06 14:51 . 2008-08-14 15:19        2,026,496        ---------        c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-06 14:51 . 2008-10-16 03:00        1,499,136        ---------        c:\windows\system32\dllcache\shdocvw.dll

2009-04-06 14:51 . 2008-10-16 03:00        671,744        ---------        c:\windows\system32\dllcache\wininet.dll

2009-04-06 14:51 . 2008-10-16 03:00        620,544        ---------        c:\windows\system32\dllcache\urlmon.dll

2009-04-06 14:50 . 2008-10-24 13:21        455,296        ---------        c:\windows\system32\dllcache\mrxsmb.sys

2009-04-06 14:50 . 2008-05-08 16:02        203,136        ---------        c:\windows\system32\dllcache\rmcast.sys

2009-04-06 14:49 . 2008-12-11 12:57        333,952        ---------        c:\windows\system32\dllcache\srv.sys

2009-04-06 14:49 . 2008-05-01 16:34        331,776        ---------        c:\windows\system32\dllcache\msadce.dll

2009-04-06 14:48 . 2009-04-06 14:48        <DIR>        d--------        c:\programme\EsetOnlineScanner

2009-04-06 14:48 . 2008-09-04 19:15        1,106,944        ---------        c:\windows\system32\dllcache\msxml3.dll

2009-04-06 14:48 . 2008-04-11 21:04        691,712        ---------        c:\windows\system32\dllcache\inetcomm.dll

2009-04-06 14:48 . 2008-10-15 18:35        337,408        ---------        c:\windows\system32\dllcache\netapi32.dll

2009-04-06 14:36 . 2008-04-14 04:22        4,274,816        ---------        c:\windows\system32\nv4_disp.dll

2009-04-06 14:29 . 2009-04-06 14:29        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

2009-04-06 14:18 . 2009-04-06 14:18        <DIR>        d--hs----        C:\FOUND.000

2009-04-06 14:13 . 2004-08-04 15:00        176,157        --a------        c:\windows\system32\dllcache\dgrpsetu.dll

2009-04-06 14:13 . 2004-08-04 15:00        103,936        --a------        c:\windows\system32\dllcache\eqnclass.dll

2009-04-06 14:13 . 2004-08-04 15:00        86,556        --a------        c:\windows\system32\dllcache\dgsetup.dll

2009-04-06 14:13 . 2004-08-04 15:00        24,661        --a------        c:\windows\system32\dllcache\spxcoins.dll

2009-04-06 14:13 . 2004-08-04 15:00        13,824        --a------        c:\windows\system32\dllcache\irclass.dll

2009-04-06 14:10 . 2009-04-06 14:10        <DIR>        d--h-----        c:\windows\$hf_mig$

2009-04-06 14:09 . 2009-04-06 14:09        <DIR>        d---s----        c:\dokumente und einstellungen\***\UserData

2009-04-06 14:09 . 2009-02-09 16:04        1,846,912        ---------        c:\windows\system32\dllcache\win32k.sys

2009-04-06 14:07 . 2009-04-06 23:04        8,224        --ahs----        c:\windows\system32\drivers\fidbox.dat

2009-04-06 14:07 . 2009-04-06 23:04        1,148        --ahs----        c:\windows\system32\drivers\fidbox.idx

2009-04-06 14:03 . 2009-04-06 14:03        <DIR>        d--------        c:\programme\Zone Labs

2009-04-06 14:03 . 2009-04-06 14:03        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier

2009-04-06 14:02 . 2009-04-06 14:02        <DIR>        d--------        c:\windows\Internet Logs
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-06 11:49        17,801        ----a-w        c:\windows\system32\drivers\AegisP.sys

2009-04-06 11:49        ---------        d-----w        c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel

2009-04-06 11:49        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\Intel

2009-04-06 11:48        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel

2009-04-06 11:47        606,848        ----a-w        c:\windows\flashax.exe

2009-04-06 11:47        503,808        ----a-w        c:\windows\Asus_A_Series_ScreenSaver.scr

2009-04-06 11:47        5,516,371        ----a-w        c:\windows\A-series Demo.exe

2009-04-06 11:47        266,240        ----a-w        c:\windows\ASUS A Series ScreenSaver Uninstaller.exe

2009-04-06 11:47        12,288        ----a-w        c:\windows\impborl.dll

2009-04-06 11:46        ---------        d-----w        c:\programme\CONEXANT

2009-04-06 11:46        ---------        d-----w        c:\programme\ATI Technologies

2009-04-06 11:45        ---------        d-----w        c:\programme\GameFace Live

2009-04-06 11:40        ---------        d-----w        c:\windows\system32\config\systemprofile\Anwendungsdaten\Symantec

2009-04-06 11:40        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\Symantec

2009-04-06 11:40        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec

2009-04-06 11:35        ---------        d-----w        c:\programme\Intel

2009-04-06 11:33        ---------        d-----w        c:\programme\Synaptics

2009-04-06 11:31        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe

2009-04-06 11:29        ---------        d-----w        c:\programme\ASUS

2009-04-06 11:28        ---------        d-----w        c:\programme\Realtek

2009-04-06 11:27        ---------        d--h--w        c:\programme\InstallShield Installation Information

2009-04-06 11:27        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield

2009-04-06 11:26        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBSI

2009-04-06 11:21        ---------        d-----w        c:\programme\microsoft frontpage

2009-04-06 11:19        ---------        d-----w        c:\programme\Online-Dienste

2009-04-06 11:19        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste

2009-02-09 14:04        1,846,912        ----a-w        c:\windows\system32\win32k.sys

2009-02-06 12:24        93,336        ----a-w        c:\windows\system32\drivers\epfwtdir.sys

2009-02-06 12:23        106,208        ----a-w        c:\windows\system32\drivers\ehdrv.sys

2009-02-06 12:19        113,448        ----a-w        c:\windows\system32\drivers\eamon.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-06 102400]

"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2003-09-19 172032]

"Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-05-11 708697]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]

"Power_Gear"="c:\programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]

"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408]

"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024]

"EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352]

"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]

"RTHDCPL"="RTHDCPL.EXE" [2005-07-12 c:\windows\RTHDCPL.EXE]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

ASUS ChkMail.lnk - c:\programme\ASUS\Asus ChkMail\ChkMail.exe [2009-04-06 32768]

Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2005-05-31 22:46 110592 c:\programme\Intel\Wireless\Bin\LgNotify.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-02-06 106208]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-02-06 93336]

R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]

R2 ITECIRService;ITE Remote Control Service;c:\windows\system32\RemoteControlService.exe [2009-04-06 656384]

R3 AVerE506;AVerE506 service;c:\windows\system32\drivers\AVerE506.sys [2009-04-06 480512]

R3 ITECIR;ITE CIR Driver;c:\windows\system32\drivers\ITECIR.sys [2009-04-06 7366]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-4-2-46-100010629-100008949-100025579-7807.com m:\

\Shell\Open\command - RECYCLER\S-4-2-46-100010629-100008949-100025579-7807.com m:\

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.asus.com

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dohamm96.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)

.
 

**************************************************************************
 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 01:23:37

Windows 5.1.2600 Service Pack 3 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(992)

c:\windows\system32\Ati2evxx.dll

c:\programme\Intel\Wireless\Bin\LgNotify.dll

.

Zeit der Fertigstellung: 2009-04-07  1:24:43

ComboFix-quarantined-files.txt  2009-04-06 23:24:40
 

Vor Suchlauf: 12 Verzeichnis(se), 15.115.452.416 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 15,109,963,776 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

178