Trojaner-Board - Win32:Rootkit-gen[Rtk] über svchost

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win32:Rootkit-gen[Rtk] über svchost (https://www.trojaner-board.de/78670-win32-rootkit-gen-rtk-svchost.html)

Win32:Rootkit-gen[Rtk] über svchost

Hey,
gestern hat sich meine Firewall gemeldet, weil svchost einen "Schellcode ausführen wollte, was auf eine Speicheroverflow-Attacke hindeuten könnte".
Hab mir nichts dabei gedacht, da svchost ja öfters mal die Firewall mit Anfragen belästigt, und hab's durchgelassen.
Allerdings kam dann der Hinweis von meinem avast, dass er Win32:Rootkit-gen[Rtk] in C:\WINDOWS\system32\x gefunden hätte.
Das lies sich über den Antivirus zwar löschen, aber leider kommt der gesamte Vorgang in unregelmäßigem Abstand wieder. Wenn ich versuche svchost am Ausführen des Schellcodes zu hindern, dann hängt sich Windows auf (genauer gesagt: Die Taskleiste reagiert nicht mehr, alle Programme laufen aber weiter).

Klingt leider garnicht gut. Hab im Netz gesehen, dass es ab und zu auch Fehlalarme gibt, kann das sein? Und wenn nicht: Besteht den noch Hoffnung ohne Formatieren aus zu kommen.

Gmer-Scan ergab folgendes:
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-20 20:08:52
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

SSDT spys.sys ZwEnumerateKey [0xF72A4CA4]
SSDT spys.sys ZwEnumerateValueKey [0xF72A5032]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A4CF1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs Shadow.sys (ShadowUser/StorageCraft, Inc.)

Device \FileSystem\Fastfat \Fat 89A83500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

Und Hijackthis meint:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:48, on 20.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Avast4\ashWebSv.exe
c:\Programme\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AccelerometerSt.Exe
C:\Programme\ActivIdentity\ActivClient\accrdsub.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Comodo\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\ActivIdentity\ActivClient\acevents.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\wuauclt.exe
c:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Tools\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.Exe
O4 - HKLM\..\Run: [StartCCC] "c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [accrdsub] "c:\Programme\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SuNotification] C:\Programme\ShadowUser\suatshut.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: vsmvhk.dll APSHook.dll C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: ackpbsc - c:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - c:\Programme\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: OneCard - c:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Programme\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Google Update Service (gupdate1c9b6056e14540c) (gupdate1c9b6056e14540c) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 8358 bytes

Wäre echt dankbar, wenn mir jemand weiterhelfen könnte. :)

Grüße,
-Z

Hallo und Herzlich Willkommen! :)

Man sollte NIE die Funde gleich löschen lassen, warum:
Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht,dass sie so harmlos sind, wie (oft) dargestelltwird ;)
Ausserdem es gibt sehr viele verschiedene Arten der Malware. Manche haben das Ziel oder/und Fähigkeiten Systemdateien ändern/überschreiben/zerstören. In dem Fall durch die Löschaktion, kannst das System unbrauchbar machen
Erkundige Du dich lieber bei Fachleuten zuerst!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Danke für den Tipp (den ersten), Coverflow, werd ich beherzigen. :)

So, nun die Daten:
filelist

Code:

----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\
 

20.10.2009  22:13                43 filelist.txt

20.10.2009  20:12     1.875.759.104 hiberfil.sys

20.10.2009  20:12     2.145.386.496 pagefile.sys

21.07.2009  21:28             4.096 SHADOW.IDX

16.06.2009  00:36                 0 IO.SYS

16.06.2009  00:36                 0 MSDOS.SYS

02.06.2009  19:52               187 Verknpfung mit HP_TOOLS (D).lnk

10.02.2009  18:30               223 boot.ini

              11 Datei(en)  4.021.453.849 Bytes

               0 Verzeichnis(se), 118.430.019.584 Bytes frei

 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\WINDOWS
 

20.10.2009  22:01               603 win.ini

20.10.2009  20:52            32.630 SchedLgU.Txt

20.10.2009  20:15           926.761 setupapi.log

20.10.2009  20:12                 0 0.log

20.10.2009  20:12         1.907.821 WindowsUpdate.log

20.10.2009  20:12               159 wiadebug.log

20.10.2009  20:12                50 wiaservc.log

20.10.2009  20:12             2.048 bootstat.dat

20.10.2009  13:28            35.815 tabletoc.log

20.10.2009  13:28           239.974 comsetup.log

20.10.2009  13:28             1.393 imsins.log

20.10.2009  13:28           331.224 tsoc.log

20.10.2009  13:28           144.724 ntdtcsetup.log

20.10.2009  13:28            38.706 ocmsn.log

20.10.2009  13:28           809.694 iis6.log

20.10.2009  13:28             9.859 KB893357.log

20.10.2009  13:28            80.672 KB937143.log

20.10.2009  13:28           349.830 ocgen.log

20.10.2009  13:28            49.455 MedCtrOC.log

20.10.2009  13:28           124.081 netfxocm.log

20.10.2009  13:28            35.738 msgsocm.log

20.10.2009  13:28           702.738 FaxSetup.log

20.10.2009  13:28           222.566 msmqinst.log

20.10.2009  13:28            27.183 updspapi.log

11.10.2009  17:46            43.967 wmsetup.log

11.10.2009  14:44               130 cfplogvw.INI

04.10.2009  18:46             8.192 REGLOCS.OLD

07.05.2009  18:00           216.755 setupact.log

23.04.2009  12:18                27 BRPP2KA.INI

23.04.2009  12:18               425 BRWMARK.INI
 

             214 Datei(en)     21.595.950 Bytes

               0 Verzeichnis(se), 118.430.007.296 Bytes frei

 

----- System  --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\WINDOWS\system
 

//alles von 2004, Anmerkung des Users

              25 Datei(en)        929.787 Bytes

               0 Verzeichnis(se), 118.430.007.296 Bytes frei

 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\WINDOWS\system32
 

19.10.2009  19:01             2.993 CONFIG.NT

19.10.2009  18:52             1.158 wpa.dbl

11.10.2009  14:46           179.792 guard32.dll

15.09.2009  12:59         1.279.968 aswBoot.exe

15.09.2009  12:53            97.480 AvastSS.scr

14.08.2009  02:05           410.984 deploytk.dll

26.07.2009  01:19            66.480 perfc009.dat

26.07.2009  01:19           415.022 perfh009.dat

26.07.2009  01:19           432.556 perfh007.dat

26.07.2009  01:19            79.974 perfc007.dat

26.07.2009  01:19         1.005.528 PerfStringBackup.INI
 

            2103 Datei(en)    432.442.554 Bytes

               0 Verzeichnis(se), 118.429.827.072 Bytes frei

 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

20.10.2009  22:13            12.954 FIND.EXE-0EC32F1E.pf

20.10.2009  22:13            12.896 CMD.EXE-087B4001.pf

20.10.2009  22:13            35.354 IZARC.EXE-2B73BBEB.pf

20.10.2009  22:05            95.210 FIREFOX.EXE-1D57670A.pf

20.10.2009  22:05            71.480 WINWORD.EXE-0B995611.pf

20.10.2009  22:04            37.614 FOXITR~1.EXE-314AFBA9.pf

20.10.2009  22:01            14.334 CALC.EXE-02CD573A.pf

20.10.2009  21:55            13.322 SNIPPY.EXE-341F00A1.pf

20.10.2009  21:28           381.044 Layout.ini

20.10.2009  21:23             8.576 SCRNSAVE.SCR-017F06EB.pf

20.10.2009  20:27            20.646 NOTEPAD.EXE-336351A9.pf

20.10.2009  20:19            70.526 CFPUPDAT.EXE-3B2FB627.pf

20.10.2009  20:19            21.348 TASKMGR.EXE-20256C55.pf

20.10.2009  20:16           102.642 AVAST.SETUP-17A8D9B1.pf

20.10.2009  20:13            64.386 WUAUCLT.EXE-399A8E72.pf

20.10.2009  20:13            80.276 CCC.EXE-1B087988.pf

20.10.2009  20:13            83.450 MOM.EXE-36B2EDCA.pf

20.10.2009  20:13            23.532 HPQTOASTER.EXE-3835EFAF.pf

20.10.2009  20:13            30.426 WMIPRVSE.EXE-28F301A9.pf

20.10.2009  20:13            71.728 ACEVENTS.EXE-0E1233C4.pf

20.10.2009  20:13            19.286 HPQWMIEX.EXE-13981AE1.pf

20.10.2009  20:13            56.872 PTKEYBOARDLAYOUTS.EXE-008B90C2.pf

20.10.2009  20:13            23.544 IMAPI.EXE-0BF740A4.pf

20.10.2009  20:13            39.396 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf

20.10.2009  20:13            12.214 SUATSHUT.EXE-1A5B8DA9.pf

20.10.2009  20:13            12.838 CPQSET.EXE-2F1CA44E.pf

20.10.2009  20:13            11.708 SMAX4.EXE-2B732B8E.pf

20.10.2009  20:13         1.081.506 NTOSBOOT-B00DFAAD.pf

20.10.2009  20:11            41.296 LOGONUI.EXE-0AF22957.pf

20.10.2009  19:01            17.258 ALG.EXE-0F138680.pf

20.10.2009  19:01            20.792 ASHWEBSV.EXE-10609AF0.pf

20.10.2009  19:01            44.142 MQTGSVC.EXE-3797CD60.pf

20.10.2009  19:01            65.050 MQSVC.EXE-08588470.pf

20.10.2009  19:01            54.924 ASGHOST.EXE-029416F3.pf

20.10.2009  08:37            23.978 ACCELEROMETERST.EXE-1D2F4856.pf

20.10.2009  08:37            18.012 CLISTART.EXE-025897C5.pf

20.10.2009  08:37            17.308 RUNDLL32.EXE-4153D5D3.pf

20.10.2009  08:37            23.012 REGSVR32.EXE-25EEFE2F.pf

20.10.2009  08:37            19.644 PTSERVS.EXE-2D68FEAA.pf

              39 Datei(en)      2.854.524 Bytes

               0 Verzeichnis(se), 118.429.900.800 Bytes frei

 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\WINDOWS\tasks
 

20.10.2009  21:52             1.088 GoogleUpdateTaskMachineUA.job

20.10.2009  20:12             1.084 GoogleUpdateTaskMachineCore.job

20.10.2009  20:12                 6 SA.DAT
 

               4 Datei(en)          2.243 Bytes

               0 Verzeichnis(se), 118.429.900.800 Bytes frei

 

----- Windows/Temp ----------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\WINDOWS\Temp
 

20.10.2009  20:12            16.384 Perflib_Perfdata_5b4.dat

20.10.2009  09:36            16.384 Perflib_Perfdata_6ec.dat

20.10.2009  09:12            16.384 Perflib_Perfdata_6f8.dat

19.10.2009  22:35            16.384 Perflib_Perfdata_750.dat

19.10.2009  21:37            16.384 Perflib_Perfdata_3e4.dat

19.10.2009  20:49            16.384 Perflib_Perfdata_71c.dat

11.10.2009  14:54            16.384 Perflib_Perfdata_6b0.dat

25.09.2009  19:18               243 dw.log

02.09.2009  14:06            16.384 Perflib_Perfdata_d30.dat

19.05.2009  00:07                 0 GUR2.tmp

              10 Datei(en)        131.315 Bytes

               0 Verzeichnis(se), 118.429.900.800 Bytes frei

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 793A-FBBB
 

 Verzeichnis von C:\DOKUME~1\Leon\LOKALE~1\Temp
 

20.10.2009  22:13                 0 etilqs_QxeB7GI6tYa9jwg5tWb6

20.10.2009  21:55            43.496 Snippy0001.jpg

20.10.2009  09:26               512 ~DF821C.tmp

20.10.2009  00:57               101 aswUpdSum.ini

20.10.2009  00:03                 0 etilqs_HNa2I0rroN2WmsphEdjl

19.10.2009  22:23                 0 etilqs_LWGQjoGjSBIspnvpRNQf

09.10.2009  02:02                 0 h5o24.tmp

07.10.2009  14:50             1.097 TWAIN.LOG

07.10.2009  14:50                 3 Twain001.Mtx

07.10.2009  14:50               156 Twunk001.MTX

29.09.2009  20:30                 0 axl33.tmp

29.09.2009  20:30                 0 tva32.tmp

29.09.2009  19:53                 0 7tc1D.tmp

29.09.2009  19:53                 0 wlx1C.tmp

26.09.2009  03:42               195 dw.log

20.09.2009  01:33                 0 9ol41.tmp

20.09.2009  01:33                 0 cla40.tmp

20.09.2009  01:33                 0 b7y3F.tmp

20.09.2009  01:32                 0 tgy3E.tmp

08.09.2009  20:53             9.651 java_install_reg.log

08.09.2009  20:53            30.691 jusched.log

26.08.2009  13:09             8.989 au-descriptor-1.6.0_15-b71.xml

17.08.2009  00:59           236.437 Snippy0002.jpg

14.08.2009  02:05            26.904 java_install.log

14.08.2009  02:04             1.109 java_install_sp.log

14.08.2009  02:04         1.089.024 4764ad.mst

14.08.2009  02:03               931 jinstall.cfg

14.08.2009  02:00           714.528 firefoxjre_exe.exe

22.07.2009  17:29           798.234 IMT4.xml

22.07.2009  17:29               426 IMT3.xml

22.07.2009  17:29             2.036 IMT2.xml

22.07.2009  13:16                 0 FairnsfC.lnk

21.07.2009  19:29                 0 isA.tmp

21.07.2009  19:28                 0 is5.tmp

09.07.2009  00:28                 0 uou74.tmp

07.07.2009  21:54                 0 GUR3.tmp

07.07.2009  11:53                 0 GUR2.tmp

16.06.2009  00:13            54.678 Setup Log 2009-06-16 #001.txt

12.06.2009  15:46                 0 gu37.tmp

09.06.2009  18:00                 0 fr321.tmp

09.06.2009  00:22                 0 f494F.tmp

09.06.2009  00:22                 0 edq4E.tmp

09.06.2009  00:21                 0 cqm4D.tmp

09.06.2009  00:20                 0 dd34C.tmp

09.06.2009  00:20                 0 qxf4B.tmp

09.06.2009  00:20                 0 h6z4A.tmp

07.06.2009  21:45            18.064 1a23_appcompat.txt

07.06.2009  21:02                 0 98y4C.tmp

04.06.2009  23:57            18.064 99e6_appcompat.txt

02.06.2009  19:26            49.152 ~DFE6F8.tmp

25.05.2009  18:50                 0 Twunk002.MTX

22.05.2009  01:43            18.064 5cec_appcompat.txt

              52 Datei(en)      3.122.542 Bytes

               0 Verzeichnis(se), 118.429.896.704 Bytes frei

CCleaner

Code:

2007 Microsoft Office system

Activation Assistant for the 2007 Microsoft Office suites

Adobe Flash Player 10 Plugin

Adobe Photoshop CS

Agere Systems HDA Modem

AMD Driver Support for HP 3D DriverGuard

AMD Processor Driver

ATI Catalyst Control Center

ATI Display Driver

avast! Antivirus

Borland Delphi 7

BumpTop

CCleaner (remove only)

COMODO Internet Security

DAEMON Tools Toolbar

DivX Codec

DivX Plus DirectShow Filters

DivX Web Player

Foxit Reader

Google Update Helper

HijackThis 2.0.2

HP 3D DriveGuard

HP Doc Viewer

HP Help and Support

HP Integrated Module with Bluetooth wireless technology

HP ProtectTools Security Manager Suite

HP Quick Launch Buttons 6.40 E1

HP Software Setup 5.00.A.7

HP User Guide Bluetooth Addendum 0062

HP User Guides 0108

HP Wallpaper

HP Webcam

HP Webcam Application

HP Wireless Assistant

IrfanView (remove only)

IZArc 3.7

LeechFTP

LockHunter version 1.0 beta 3, 32 bit edition

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 German Language Pack

Microsoft .NET Framework 2.0

Microsoft .NET Framework 2.0 Language Pack - DEU

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office Enterprise 2007

Microsoft User-Mode Driver Framework Feature Pack 1.0

Mozilla Firefox (3.0.14)

MSXML 4.0 SP2 (KB927978)

MSXML 6.0 Parser (KB927977)

OpenOffice.org 3.0

Phase 5 HTML-Editor

PLT Scheme v4.1.5

ShadowUser Pro 2.5

SoundMAX

Spybot - Search & Destroy

SWI-Prolog (remove only)

Synaptics Pointing Device Driver

TeamViewer 4

Trillian

VLC media player 0.9.8a

Windows Media Format 11 runtime

Windows Media Player 11

Und Kaspersky (der hat den wahren Übeltäter erwischt: Net-Worm.Win32.Kido.ih):

Code:

-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Mittwoch, 21. Oktober 2009 01:36:48

 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.2

 Letztes Update der Antiviren-Datenbanken: 20/10/2009

 Anzahl der Einträge in den Antiviren-Datenbanken: 3039741

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        C:\

        D:\

        E:\

        H:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 111558

        Viren gefunden: 3

        Infizierte Objekte gefunden: 5

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 01:51:54
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo\Firewall Pro\cfplogdb.sdb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\HPQLOG\HP ProtectTools Service.xml        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\parent.lock        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\places.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\search.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\xmarks.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Eigene Dateien\Archiv Programme\Cain and Abel.exe/WISE0017.BIN        Infizierte Objekte: not-a-virus:PSWTool.Win32.Cain.y        übersprungen

C:\Dokumente und Einstellungen\Leon\Eigene Dateien\Archiv Programme\Cain and Abel.exe/WISE0026.BIN        Infizierte Objekte: not-a-virus:PSWTool.Win32.Cain.284        übersprungen

C:\Dokumente und Einstellungen\Leon\Eigene Dateien\Archiv Programme\Cain and Abel.exe        WiseSFX: infiziert - 2        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Temp\etilqs_QxeB7GI6tYa9jwg5tWb6        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009102020091021\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\ntuser.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\Leon\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6MS1JSBD\ymtt[1].bmp        Infizierte Objekte: Net-Worm.Win32.Kido.ih        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5Y78H23\awpeusz[1].bmp        Infizierte Objekte: Net-Worm.Win32.Kido.ih        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Programme\Avast4\DATA\aswResp.dat        Das Objekt ist gesperrt        übersprungen

C:\Programme\Avast4\DATA\Avast4.db        Das Objekt ist gesperrt        übersprungen

C:\Programme\Avast4\DATA\log\AshWebSv.ws        Das Objekt ist gesperrt        übersprungen

C:\Programme\Avast4\DATA\log\nshield.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Avast4\DATA\log\selfdef.log        Das Objekt ist gesperrt        übersprungen

C:\Programme\Avast4\DATA\report\Residenter Schutz.txt        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\tracking.log        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP102\change.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\Antivirus.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\Credenti.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\ODiag.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\OSession.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\drivers\SafeBoot.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\drivers\sptd.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\MsDtc\MSDTC.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\msmq\storage\QMLog        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\Perflib_Perfdata_5b4.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Temp\_avast4_\Webshlock.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

Die Beschreibung passt haargenau auf den Wurm. Soll ich den Anweisungen von Viruslist.com folgen?

hi

1.
DAEMON Tools Toolbar - würde ich ohne nachzudenken deinstallieren

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
**ab jetzt, bis wir hier fertig sind:
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte IMMER anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

Doppelklick auf die Datei, um FindyKill -> installieren
akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
Doppelklicke das FindyKill-Icon auf dem Desktop.
Vista-User starten mit Rechtsklick und als Administrator!
Es öffnet sich ein DOS-Fenster.
Wähle "F" + Entertaste,
im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
Es wird eine Datenträgerbereinigung durchgeführt.
Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
Das Fenster schließen.
Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

Hey, danke für die schnelle Antwort. :)

1. Klar, kA wie die sich ins System geschlichen hat. ;)
2.Hier der zweite GMER Bericht (erster steht im Anfangspost):

Code:

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-10-20 20:08:52

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT            spys.sys                                 ZwEnumerateKey [0xF72A4CA4]

SSDT            spys.sys                                 ZwEnumerateValueKey [0xF72A5032]
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                   8A4CF1F8
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice  \FileSystem\Ntfs \Ntfs                   Shadow.sys (ShadowUser/StorageCraft, Inc.)
 

Device          \FileSystem\Fastfat \Fat                 89A83500
 

AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                 cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\Ip                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Tcp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\Tcp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Udp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\Udp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\RawIp              cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\RawIp              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

---- EOF - GMER 1.0.15 ----
 

___

___
 

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-10-21 17:29:47

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT            splc.sys                                 ZwEnumerateKey [0xF72A4CA4]

SSDT            splc.sys                                 ZwEnumerateValueKey [0xF72A5032]
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                   8A4CF1F8
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice  \FileSystem\Ntfs \Ntfs                   Shadow.sys (ShadowUser/StorageCraft, Inc.)
 

Device          \FileSystem\Fastfat \Fat                 89B10500
 

AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                 cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\Ip                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Tcp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\Tcp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Udp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\Udp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\RawIp              cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

AttachedDevice  \Driver\Tcpip \Device\RawIp              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

---- EOF - GMER 1.0.15 ----

3. FindyKill

Code:



----------------- FindyKill V4.005 ------------------
 

* User : **** - SALVADOR

* Emplacement : C:\Programme\FindyKill

* Outils Mis a jours le 17/10/08 par Chiquitine29

* Suppression effectuée à 18:09:04 le 21.10.2009

* Windows XP - Internet Explorer 6.0.2900.2180

 

 

((((((((((((((( *** Suppression *** ))))))))))))))))))  

 

 

--------------- [ Processus actifs ] ----------------  

 
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\svchost.exe

c:\Programme\ActivIdentity\ActivClient\acevents.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\userinit.exe

c:\Programme\Hewlett-Packard\IAM\Bin\AsGHost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msdtc.exe

c:\Programme\ActivIdentity\ActivClient\accoca.exe

C:\WINDOWS\system32\agrsmsvc.exe

c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe

 

--------------- [ Fichiers/Dossiers infectieux ] ----------------  

 

 

»»»» Suppression des fichiers dans C: 

 

 

»»»» Suppression des fichiers dans C:\WINDOWS 

 

 

»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 

 

Supprimé ! - C:\WINDOWS\Prefetch\FOXITR~1.EXE-314AFBA9.pf 

Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-13404D23.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-17E59DEB.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1831A4F3.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E7B0E05.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2055C45D.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-21A1BFCE.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-277C453A.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30B3433E.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-321BFFD6.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-38305248.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3FBF6AB9.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4153D5D3.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-44A0B4BC.pf 

Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf 

Supprimé ! - C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf 

Supprimé ! - C:\WINDOWS\Prefetch\SMAX4.EXE-2B732B8E.pf 

Supprimé ! - C:\WINDOWS\Prefetch\WINTEMS.EXE-1C3562E3.pf 

 

»»»» Suppression des fichiers dans C:\WINDOWS\system32 

 

 

»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 

 

 

»»»» Suppression des fichiers dans C:\Dokumente und Einstellungen\Leon\Anwendungsdaten 

 

 

»»»» Suppression des fichiers dans C:\DOKUME~1\Leon\LOKALE~1\Temp 

 

 

--------------- [ Registre / Clés infectieuses ] ---------------- 

 

Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA   

 

      -> Certaines clés ont été supprimées au premier reboot ...  

 

--------------- [ Etat / Redémarage des services ] ---------------- 

 

+- Mode sans echec restauré ! 
 

+- Services : [ Auto=2 Demande=3 Désactivé=4 ] 
 

 Ndisuio - Type de démarrage = 2 

 

 Wlansvc - Type de démarrage = 2 

 

 Ip6Fw - Type de démarrage = 2 

 

 SharedAccess - Type de démarrage = 2 

 

 wuauserv - Type de démarrage = 2 

 

 wscsvc - Type de démarrage = 2 

 

 

---------------   [ Nettoyage des supports amovibles ] ----------------  

 

+- Informations : 
 

C: - Eingebautes Laufwerk
 

D: - Eingebautes Laufwerk
 

 

+- Suppression des fichiers : 

 

 

--------------- [ Registre / Moutpoint2 ] ----------------  

 

 

 -> Recherche négative. 

 

 

--------------- [ Recherche Cracks / Keygen ] ----------------  

 

 

 

---------------- ! Fin du rapport ! ------------------

hi

Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

MB hat nichts gefunden, allerdings ist zwei Mal der Antivirus aufgeschreckt und hat die beiden Würmer gefunden. Liegen nun im Quarantäne-Verzeichnis.

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3010

Windows 5.1.2600 Service Pack 2
 

22.10.2009 13:01:47

mbam-log-2009-10-22 (13-01-47).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 238693

Laufzeit: 1 hour(s), 17 minute(s), 32 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hab auch mal die Registry durchgesucht, nach den unter virusonline genannten Schlüsseln: Nichts gefunden.
Svchost verhält sich mittlerweile anständig und es kommen keine weiteren Overflow Attacken.

Ist das gut?

Tut mir Leid wegen Doppelpost, hab aber noch was gefunden:

Es laufen bei mir gleichzeitig 8 svchost Prozesse. Das ist doch nicht normal?!
Laut TCPView sind zwar alle Prozesse von Microsoft signiert (verifiziert), aber so viele hatte ich früher glaube ich nicht!

hi

Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
Sicherheits-Bewertung:

"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.