Trojaner-Board - Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evt (https://www.trojaner-board.de/78877-immer-neue-probleme-prun-tmp-net-net-trojan-agent-swaw-tmp-odiag-evt.html)

Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evt

Hallo,

nun hat's mich wohl leider auch mal erwischt und ich würde Euch gerne um Hilfe bitten.

Nach ein paar Meldungen meiner installierten GData Internet Security und einigen Merkwürdigkeiten im Verhalten meines MSI Wind Netbooks (u.a. teilweise extrem langsam, Maus spinnt manchmal etc.) habe ich mir auf Euren Seiten hier im Forum eine Menge an Infos geholt und auch die diversen empfohlenen Tools heruntergeladen.

Ganz offensichtlich habe ich mir irgendetwas durch meine eigene Blödheit eingefangen, da ich aus Bequemlichkeitsgründen mit Adminrechten eingeloggt und im Netz unterwegs war - und irgendwas bei der Firewall bzw. dem Virenschutzprogramm durchgerutscht sein muss. Anscheinend hat sich da etwas ziemlich ins System gegraben und ich hätte die Kiste wohl auch schon längst neu aufgesetzt, wenn es eben nicht ein kleines Netbook ohne Laufwerk wäre und ich die nächsten Tage auch noch unterwegs bin. Zudem habe ich Bedenken, dass ja vielleicht auch die auf dem Netbook enthaltenen Daten der "Recovery-CD" befallen sind - und Formatieren macht ja ohne Recoverymöglichkeit irgendwie nicht wirklich Sinn... *etwas ratlos gugg"... :(

Ich werde mal versuchen, möglichst alles halbwegs chronologisch aufzulisten, was die letzten Tage vorgefallen ist und evtl. von Wichtigkeit sein könnte. Vorsicht, wird wohl ein Roman... ;o)

Der ganze Ärger fing mit zwei gefundenen Dateien an, worauf hin ich mir dann auch mal die Protokolle mit einigen seltsamen Dingen angesehen habe:

Laut G Data Internet Security sind folgende Dateien in Quarantäne

Code:

24.10.2009 21:44

Virus:

Win32:Malware-gen 

Datei: prun.tmp

C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp 
 

24.10.2009 22:06

Virus: Win32:Malware-gen 

Datei: net.net

c:\windows\system32

Die etwas merkwürdigen Protokolldaten von GData über die Zeit vor dem Fund (irrelevante Daten habe ich weggelassen):

Code:

23.10.2009 02:09 

Beim Öffnen der Datei "C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp" wurde der Virus "Trojan.Generic.2582319 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
 

23.10.2009 02:09

Beim Schließen der Datei "C:\WINDOWS\Temp\2C5.tmp" wurde der Virus "Gen:Trojan.Heur.TDSS.buW@kiNrt0mi (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
 

23.10.2009 02:09

net.net versucht, die Systemkonfiguration zu ändern.

Dieser Eintrag bindet eine neue Anwendung ein, die beim Start des Systems ausgeführt wird.

Es wird versucht eine Verknüpfung auf net.net anzulegen.

Herausgeber: Unbekannter Herausgeber

Die Konfigurationsänderung wurde nicht erlaubt.
 

23.10.2009 02:09

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp

Virus: Trojan.Generic.2582319 (Engine A)
 

23.10.2009 02:17

Beim Öffnen der Datei "C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp" wurde der Virus "Trojan.Generic.2582319 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
 

23.10.2009 02:17

Beim Schließen der Datei "C:\WINDOWS\Temp\2EE.tmp" wurde der Virus "Gen:Trojan.Heur.TDSS.buW@kiNrt0mi (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
 

23.10.2009 02:17

Die Datei wurde in die Quarantäne verschoben.

Datei: C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp

Virus: Trojan.Generic.2582319 (Engine A)
 

23.10.2009 19:27

Beim Öffnen der Datei "C:\WINDOWS\system32\xa.tmp" wurde der Virus "Trojan.Generic.2590206 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
 

23.10.2009 20:20

Beim Öffnen der Datei "C:\WINDOWS\system32\xa.tmp" wurde der Virus "Trojan.Generic.2590206 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
 

24.10.2009 21:42

Beim Öffnen der Datei "C:\WINDOWS\system32\net.net" wurde der Virus "Win32:Malware-gen (Engine B)" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Nach einigem Sammeln von Infos in Eurem Forum habe ich daraufhin einige Tools laufen lassen.

Malwarebyte's Anti-Malware findet am 25.10.
(Trojan.Agent) und (Malware.Trace) und entfernt diese (siehe nachstehende Logs):

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3027

Windows 5.1.2600 Service Pack 3
 

25.10.2009 02:29:17

mbam-log-2009-10-25 (02-28-56).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 183700

Laufzeit: 1 hour(s), 18 minute(s), 29 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3027

Windows 5.1.2600 Service Pack 3
 

25.10.2009 02:32:58

mbam-log-2009-10-25 (02-32-58).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 183700

Laufzeit: 1 hour(s), 18 minute(s), 29 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Bei erneuten Scans finden dann weder Malwarebyte's Anti-Malware, SUPERAntiSpyware und Blacklight etwas Verdächtiges.

Immer noch ein wenig verunsichert, ob der Rechner nun wirklich clean ist, surfe ich dann zumindest mal mit einem Account ohne Admin-Rechte, in mein web.de-Postfach oder auf andere Seiten wie ebay habe ich mich aus Sicherheitsgründen bisher auch nicht mehr eingeloggt - wahrscheinlich auch ganz gut so:

Am 26.10. bin ich als User mit eingeschränkten Rechten eingeloggt uns starte Firefox, das WLAN war jedoch noch getrennt. Unten in der Taskleiste erscheint "Update" und die Firewall poppt hoch: Ein Prozeß namens "swaw.tmp" (der auch in der Liste im Taskmanager zu sehen ist) möchte auf die URL "hioprxmetn.com" zugreifen...

Das Spannende daran: Die Datei "swaw.tmp" ist nach Suche über die Festplatten nirgendwo zu finden, ein gleich auf die obengenannte Meldung folgender Scan mit Blacklight bleibt ohne Warnung, Blacklight findet scheinbar nichts Verdächtiges und listet diese Datei "swaw.tmp" als offensichtlich normalen Prozeß mit allen anderen üblicherweise laufenden Prozessen auf.

Nun gingen mal wieder alle Alarmglocken bei mir an, also erstmal Malwarebyte's Anti-Malware gestartet. Das Programm hatte sich dann mehrfach nach kurzer Laufzeit aufgehängt, auch wenn ich es mit "Ausführen als" mit Admin-Rechten startete. Das Merkwürdige daran war, dass er einmal von etwa 3, 4 Anläufen eine Meldung brachte, dass etwas gefunden wurde - was aber leider dank abgeschmiertem Programm nicht mehr nachzuvollziehen war. Als bei einem weiteren Versuch wieder etwas angezeigt wurde, habe ich schnell einen Screenshot davon gemacht:

Leider kann ich Euch den Screenshot nicht direkt einbinden, da ich nicht weiß, wo ich ihn jetzt mal eben schnell ins Netz hochladen kann...

Demnach sollten nun also die Dateien c:\windows\system32\config\ODiag.evt und c:\windows\system32\config\OSession.evt mit einem Rootkit.Agent.H versucht sein - na prima... :balla:

Nach dem Versuch, Info's über die Dateien ODiag.evt und OSession.evt zu bekommen (müssen wohl im Zusammenhang mit Microsoft Office auf dem Rechner sein, Office Diagnostics und Office Session oder so was?) habe ich dann mal versucht, diese zu löschen, da ich ohnehin kein Office nutze und auf dem Rechner nur eine nicht aktivierte 60-Tage Testversion enthalten ist - keine Chance, da lässt sich nichts löschen, nicht mal kopieren kann ich diese Dateien.

Mittlerweile bin ich ein wenig unsicher, ab diese beiden Dateien wirklich infiziert waren bzw. sind, denn ich bekomme mit keinem Programm mehr irgendeine Warnung. Mehrere Komplettscans von Malwarebyte's Anti-Malware, SUPERAntiSpyware und Blacklight unter dem Admin-Account blieben ohne Ergebnis, laut diesen Programmen sollte mein Rechner wieder clean sein - aber ich traue dem Frieden nicht...

Nachdem ich gestern Crapcleaner und heute darauf hin nochmal die 3 oben genannten Programme habe laufen lassen, gab es keinerlei Warnmeldungen. SUPERAntiSpyware hat bei mittlerweile 5 Komplettscans nichts gefunden, die letzten Ergebnisse von Malwarebyte's Anti-Malware und Blacklight:

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3036

Windows 5.1.2600 Service Pack 3
 

27.10.2009 01:32:35

mbam-log-2009-10-27 (01-32-35).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 194510

Laufzeit: 1 hour(s), 36 minute(s), 53 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

10/27/09 15:20:08 [Info]: BlackLight Engine 2.2.1092 initialized

10/27/09 15:20:08 [Info]: OS: 5.1 build 2600 (Service Pack 3)

10/27/09 15:20:09 [Note]: 7019 4

10/27/09 15:20:09 [Note]: 7005 0

10/27/09 15:20:13 [Note]: 7006 0

10/27/09 15:20:13 [Note]: 7011 2884

10/27/09 15:20:13 [Note]: 7035 0

10/27/09 15:20:13 [Note]: 7026 0

10/27/09 15:20:14 [Note]: 7026 0

10/27/09 15:20:18 [Note]: FSRAW library version 1.7.1024

10/27/09 15:43:33 [Note]: 7007 0

Fortsetzung folgt...

Fortsetzung

Heute habe ich dann nochmal den GMER Rootkit Scanner installiert und laufen lassen:

Code:

GMER 1.0.15.15163 - http://www.gmer.net

Rootkit scan 2009-10-27 08:13:21

Windows 5.1.2600 Service Pack 3

Running: pdbx08zt.exe; Driver: C:\DOKUME~1\XXXAdmin-AccountXXX\LOKALE~1\Temp\kwrcypob.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwClose [0xBA4513B0]

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwCreateKey [0xBA452090]

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwDeleteKey [0xBA4521B2]

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwDeleteValueKey [0xBA4521D4]

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwOpenKey [0xBA452118]

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwOpenProcess [0xBA4512D6]

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG)  ZwSetValueKey [0xBA452184]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.rsrc           C:\WINDOWS\system32\drivers\atapi.sys                                              entry point in ".rsrc" section [0xB9F46780]
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                 [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]          [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]            [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]           [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]               [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]         [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]           [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]             [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                  [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                 [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]            [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]          [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                 [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                  [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                   [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]              [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]           [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]             [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                  [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                 [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]            [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]          [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                 [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\Tcpip \Device\Ip                                                           GDTdiIcpt.sys (G DATA Software AG)

Device          \Driver\Tcpip \Device\Tcp                                                          GDTdiIcpt.sys (G DATA Software AG)

Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                        [B9F39B3A] atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}

Device          \Driver\atapi \Device\Ide\IdePort0                                                 [B9F39B3A] atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}

Device          \Driver\atapi \Device\Ide\IdePort1                                                 [B9F39B3A] atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}

Device          \Driver\Tcpip \Device\Udp                                                          GDTdiIcpt.sys (G DATA Software AG)

Device          \Driver\Tcpip \Device\RawIp                                                        GDTdiIcpt.sys (G DATA Software AG)

Device          \Driver\Tcpip \Device\IPMULTICAST                                                  GDTdiIcpt.sys (G DATA Software AG)

Device          \FileSystem\Fastfat \Fat                                                           A75A4D20
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                           fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Files - GMER 1.0.15 ----
 

File            C:\WINDOWS\system32\drivers\atapi.sys                                              suspicious modification
 

---- EOF - GMER 1.0.15 ----

Als letztes nun noch ein aktueller Log von HijackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:51:00, on 27.10.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe

C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe

C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\System Control Manager\MSIService.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

C:\Programme\Verbindungsassistent\WTGService.exe

C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\System Control Manager\MGSysCtrl.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe

C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Steganos Safe OEM\SteganosHotKeyService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\PROGRA~1\MICROS~2\rapimgr.exe

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

D:\Viren und Co\HiJackThis\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msi.com.tw

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: (no name) - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START

O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe

O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [SAFEOEM HotKeys] "C:\Programme\Steganos Safe OEM\SteganosHotKeyService.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226101567480

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe

O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe

O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: WTGService - Unknown owner - C:\Programme\Verbindungsassistent\WTGService.exe
 

--

End of file - 7887 bytes

So ist momentan der Stand. Ich traue der ganzen Sache nicht und würde mich wirklich sehr über Eure Hilfe freuen, zumal ich momentan fern von einem stationären Rechner mit Laufwerk ein echtes praktisches Problem habe, das Netbook neu aufzusetzen und ich mich im Netz aus Sicherheitsgründen natürlich auch nicht mehr irgendwo einloggen mag.

Merci vielmals und viele Grüße
Wolfgang

*nochmal vorsichtig auf die erste Seite schieb*...

Hmm, ich hoffe mal, dass ich nicht gegen irgendwelche Regeln im Board verstossen habe, wenn dem so sein sollte, lasst es mich bitte wissen, ja? Oder waren meine Info's einfach zu umfangreich? :rolleyes:

Vielleicht ist auch meine Fragestellung nicht rübergekommen: Ich traue den letzten Meldungen der ganzen Tools nach all dem Durcheinander auf dem Rechner nicht, kann es sein, dass da doch noch etwas auf meiner Kiste herumgeistert? Was kann ich denn noch tun, um das weitestgehend auszuschliessen?

Was mir noch durch den Kopf geht im Zusammenhang mit meinem Problem: Gibt es denn evtl. eine Möglichkeit, so ein Netbook wie mein MSI Wind ohne Laufwerk mit irgendwelchen empfehlenswerten Tools von einem USB-Stick zu booten und nach Viren etc. zu scannen, ohne dass das System schon läuft?

Es wäre echt klasse, wenn sich mal jemand die Mühe machen kann, sich mein Problem anzusehen.

:dankeschoen:

Merci und viele Grüße
Wolfgang

Das Problem bei dir ist leider so, das sehr viele Dateien von der infektion betroffen sind. Darunter auch einige Systemdateien. Es waere hier am sinnvollsten den Rechner neu aufzusetzen.

Man kann versuchen mit Combofix noch einiges reparieren zu lassen, aber selbst das wird dir dein System nicht in den "Orginalzustand" vor der Infektion zurueckversetzen koennen.

Hi Ralf,

danke für Deine Antwort, die mir aber im Moment leider nicht wirklich weiterhilft... ;)

Klar wäre ein komplettes Neuaufsetzen des Rechners die sinnvollste Option. Wie ich schon geschrieben hatte, handelt es sich ja bei dem Rechner, um ein Netbook ohne Laufwerk und die "Recovery-CD" ist irgendwo auf der Platte. Wenn dieser Rechner tatsächlich noch befallen ist, könnten das doch auch diese Recovery-Dateien sein, oder? Oder sind diese Daten absolut sicher?

Da ich momentan unterwegs bin, die Kiste brauche und nicht so bald an meinen Rechner zuhause komme, habe ich da echt ein Problem. Mal abgesehen davon, dass die Sourcen für benötigte Programme natürlich zuhause liegen, wäre die wohl sicherste Methode (=Formatieren und neu aufsetzen) gleichbedeutend damit, dass ich den Rechner auch einfach die nächsten Wochen in der Tasche liegen lassen kann. Dass ich bei allen Scan- und Bereinigungstools nie 100% sicher sein kann, dass nicht doch noch was im System ist, ist schon klar - aber ich würde natürlich gerne so viel wie möglich ausschliessen, damit ich nun die nächsten Tage nicht komplett ohne Rechner da sitze...

Any ideas?

Viele Grüße
Wolfgang

Die "Recoverydaten" sollten sicher sein, da diese vom System nicht ohne weiteres eingesehen werden koennen.

Du kannst gerne Combofix nutzen, denke aber daran, das bei der Reinigung auch etwas schief gehen koennte!

Hier ist eine Anleitung zu Combofix, aber wenn du gerade sehr auf den Rechner angewiesen bist, dieser einigermassen stabiel lauft und nicht unbedingt ins Internet braucht, solltest du es nicht nutzen!

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Hi Ralf,

danke für Deine Unterstützung! Ich habe Combofix gemäß der von Dir angegebenen Quelle mit den dortigen Anweisungen installiert und ausgeführt. Ich blicke in dem Log nicht wirklich durch, habe aber zumindest leichte Hoffnung, dass ich den Rechner vielleicht noch ein paar Tage nutzen kann.

Code:

ComboFix 09-10-27.08 - UMTS 28.10.2009 22:12.1.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2037.1391 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\UMTS\Desktop\ComboFix.exe

AV: G DATA InternetSecurity 2009 *On-access scanning disabled* (Updated) {71310606-6F3B-49F2-9A81-8315AA75FBB3}

FW: G DATA Personal Firewall *disabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\Inetde.dll
 

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 

Kopie von - Kitty ate it :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-09-28 bis 2009-10-28  ))))))))))))))))))))))))))))))

.
 

2009-10-27 22:51 . 2009-10-27 22:59        --------        d-----w-        c:\dokumente und einstellungen\SafeOnline\Anwendungsdaten\Winamp

2009-10-26 21:58 . 2009-10-26 21:58        67216        ----a-w-        c:\dokumente und einstellungen\SafeOnline\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-10-26 18:46 . 2009-10-26 18:47        --------        d-----w-        c:\programme\CCleaner

2009-10-26 16:27 . 2009-10-26 16:27        --------        d-----w-        c:\dokumente und einstellungen\SafeOnline\Anwendungsdaten\SUPERAntiSpyware.com

2009-10-25 23:11 . 2009-10-25 23:11        --------        d-----w-        c:\dokumente und einstellungen\SafeOnline\Anwendungsdaten\Malwarebytes

2009-10-25 16:35 . 2009-10-25 16:36        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\BOM

2009-10-25 15:15 . 2009-10-25 17:58        --------        d-----w-        c:\dokumente und einstellungen\SafeOnline\Anwendungsdaten\BOM

2009-10-25 14:33 . 2000-10-01 23:00        125712        ----a-w-        c:\windows\system32\vb6de.dll

2009-10-25 14:33 . 2000-04-03 19:06        16896        ----a-w-        c:\windows\system32\winskde.dll

2009-10-25 14:33 . 1999-07-14 13:07        6656        ----a-w-        c:\windows\system32\stdftde.dll

2009-10-25 14:33 . 1998-07-05 23:00        22528        ----a-w-        c:\windows\system32\Tabctde.dll

2009-10-25 14:33 . 1998-07-05 23:00        158208        ----a-w-        c:\windows\system32\Mscmcde.dll

2009-10-25 14:33 . 2000-04-03 19:05        118784        ----a-w-        c:\windows\system32\msstdfmt.dll

2009-10-25 14:33 . 2009-10-25 15:32        --------        d-----w-        c:\programme\Biet-O-Matic

2009-10-25 00:59 . 2009-10-25 00:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2009-10-25 00:59 . 2009-10-25 00:59        --------        d-----w-        c:\programme\SUPERAntiSpyware

2009-10-25 00:59 . 2009-10-25 00:59        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\SUPERAntiSpyware.com

2009-10-25 00:58 . 2009-10-25 00:58        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-10-24 23:01 . 2009-10-24 23:01        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Malwarebytes

2009-10-24 23:01 . 2009-09-10 12:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-24 23:01 . 2009-10-24 23:01        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-10-24 23:01 . 2009-10-25 00:21        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-10-24 23:01 . 2009-09-10 12:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-10-23 18:38 . 2009-10-25 16:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2009-10-23 08:51 . 2009-10-23 08:51        --------        d-----w-        c:\programme\OO Software

2009-10-23 08:49 . 2009-10-23 08:50        --------        d-----w-        c:\programme\Steganos Safe OEM

2009-10-23 08:46 . 2007-06-06 23:00        1128128        ----a-w-        c:\windows\system32\NMSDVDXU.dll

2009-10-23 08:46 . 2007-06-06 23:00        1103552        ----a-w-        c:\windows\system32\NMSDVDX.dll

2009-10-23 08:46 . 2009-10-23 08:46        --------        d-----w-        c:\programme\SYDATEC

2009-10-23 08:46 . 2009-10-23 08:46        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\InstallShield Installation Information

2009-10-23 06:57 . 2009-10-23 06:57        --------        d-sh--w-        c:\windows\system32\config\systemprofile\IETldCache

2009-10-20 12:01 . 2009-10-20 12:01        --------        d-----w-        c:\programme\Trader's Little Helper

2009-10-19 17:01 . 2009-10-19 17:01        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Lokale Einstellungen\Anwendungsdaten\Broad Intelligence

2009-10-19 16:47 . 2009-10-19 16:47        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Broad Intelligence

2009-10-19 16:47 . 2009-10-19 16:47        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Startmen³

2009-10-19 16:47 . 2009-10-19 16:50        --------        d-----w-        c:\programme\MediaCoder

2009-10-11 14:22 . 2009-10-11 14:22        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Apple Computer

2009-09-29 20:56 . 2009-09-29 21:02        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Mp3tag

2009-09-29 20:56 . 2009-09-29 20:56        --------        d-----w-        c:\programme\Mp3tag
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-28 20:59 . 2008-08-25 20:26        80500        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-28 20:59 . 2008-08-25 20:26        449044        ----a-w-        c:\windows\system32\perfh007.dat

2009-10-25 16:57 . 2009-09-21 21:05        --------        d-----w-        c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Winamp

2009-10-25 12:32 . 2009-01-16 10:51        --------        d-----w-        c:\programme\PokerStars

2009-10-15 10:55 . 2009-01-16 23:54        --------        d-----w-        c:\programme\IrfanView

2009-09-21 21:07 . 2009-09-21 21:05        --------        d-----w-        c:\programme\Winamp

2009-09-13 21:05 . 2009-09-13 21:05        --------        d-----w-        c:\programme\Foto Greiss Online Bilder Service

2009-09-11 14:17 . 2008-08-25 20:25        136192        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-08 08:21 . 2009-06-10 10:08        --------        d-----w-        c:\programme\Opera

2009-08-25 17:01 . 2009-08-25 17:02        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-08-18 20:17 . 2009-08-18 20:17        67216        ----a-w-        c:\dokumente und einstellungen\UMTS\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-08-05 08:59 . 2008-08-25 20:25        206336        ----a-w-        c:\windows\system32\mswebdvd.dll

2009-08-04 17:26 . 2008-04-14 07:29        2147840        ----a-w-        c:\windows\system32\ntoskrnl.exe

2009-08-04 17:25 . 2008-04-14 07:30        2026496        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2006-05-03 09:06 . 2008-11-23 18:54        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2008-11-23 18:54        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2008-11-23 18:54        216064        --sh--r-        c:\windows\system32\nbDX.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]

"MGSysCtrl"="c:\programme\System Control Manager\MGSysCtrl.exe" [2008-07-29 684032]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]

"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]

"GDFirewallTray"="c:\programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe" [2008-08-19 1037992]

"G DATA AntiVirus Trayapplication"="c:\programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe" [2008-10-29 955976]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-25 149280]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]

"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]

"SAFEOEM HotKeys"="c:\programme\Steganos Safe OEM\SteganosHotKeyService.exe" [2008-12-11 26112]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-08 16862208]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-8 113664]

Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
 

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [14.12.2008 13:56 22272]

R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [14.12.2008 15:34 68424]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [12.10.2009 20:24 9968]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.10.2009 20:24 74480]

R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];c:\windows\system32\drivers\sleen16.sys [01.10.2008 14:24 79104]

R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [19.08.2008 16:20 1089608]

R2 AVKService;G DATA Scheduler;c:\programme\G DATA\InternetSecurity\AVK\AVKService.exe [19.08.2008 16:20 386120]

R2 AVKWCtl;AntiVirus Wächter;c:\programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe [14.08.2008 08:55 1185496]

R2 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe [15.08.2008 14:51 1407976]

R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [14.12.2008 13:56 51016]

R2 WTGService;WTGService;c:\programme\Verbindungsassistent\WTGService.exe [10.07.2009 15:27 296400]

R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [14.12.2008 13:57 48712]

R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [14.12.2008 13:57 32328]

R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [25.08.2008 14:52 156160]

R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [25.08.2008 17:06 625792]

S2 Micro Star SCM;Micro Star SCM;c:\programme\System Control Manager\MSIService.exe [25.08.2008 16:21 159744]

S3 rtl8187Se;Realtek RTL8187SE Wireless LAN PCIE Network Adapter;c:\windows\system32\drivers\rtl8187Se.sys [25.08.2008 14:58 306176]

S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [12.10.2009 20:24 7408]

S4 Xmlservc;Xmlservc; [x]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - mbr

.

Inhalt des "geplante Tasks" Ordners

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.msi.com.tw

FF - ProfilePath - c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Mozilla\Firefox\Profiles\83xkt27z.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://web.de/fm/

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=2&q=

FF - component: c:\dokumente und einstellungen\UMTS\Anwendungsdaten\Mozilla\Firefox\Profiles\83xkt27z.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}\components\FFExternalAlert.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

URLSearchHooks-{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - (no file)
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-28 22:21

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(704)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

.

Zeit der Fertigstellung: 2009-10-28 22:23

ComboFix-quarantined-files.txt  2009-10-28 21:23
 

Vor Suchlauf: 8 Verzeichnis(se), 21.982.699.520 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 22.121.410.560 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 0C2E7D6EA1C96128649DAD3E7EA73372

Wie schaut's denn aus, was würdest Du mir als nächsten Schritt empfehlen?

Danke schon mal, viele Grüße
Wolfgang

Zumindest hat dir CF die infizierte Systemdatei durch ein Orginal ersetzt. In dem Zustand kannst du ersteinmal weiterarbeiten, bis du die Zeit zum neu aufsetzen findest.

deinstalliere Combofix noch ueber start/ausfuehren, gebe dort
combofix /uninstall
ein und druecke enter..

Hi Ralf,

nach ein paar Tagen Rechner-Abstinenz erst nochmal ein dickes :dankeschoen: für Deine Unterstützung.

Ist die Deinstallation von Combofix aus Sicherheitsgründen erforderlich oder sollte ich nicht damit (bzw. anderen Tools?) ab und an bis zum Neuaufsetzen des Netbooks scannen, damit ich mir nicht wieder etwas einfange? Ganz offensichtlich hat die Security-Suite von GData ja nicht ausgereicht, um mir die Kiste halbwegs clean zu halten... :mad:

Thanks und viele Grüße
Wolfgang

Combofix solltest du deinstallieren, da dir das jetzt keinen Nutzen bringt und es eigentlich nur dafuer gedacht ist zu helfen, wenn alles andere versagt. Combofix ist zudem sehr "maechtig". Da sollte man nicht aus Verdacht heraus nutzen.

Anders sieht das bei Malwarebytes aus. Das sollte man durchaus oeffters nutzen und natuerlich aktualisieren!