Trojaner-Board - BV:AutoRun-G [Wrm] auf USB-Festplatte

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BV:AutoRun-G [Wrm] auf USB-Festplatte (https://www.trojaner-board.de/81816-bv-autorun-g-wrm-usb-festplatte.html)

BV:AutoRun-G [Wrm] auf USB-Festplatte

Hallo liebes Team,
ich brauche mal wieder einen kleinen Rat :)
Habe neulich meine Festplatte bei einem Freund angeschlossen und es war auch nichts auffälliges zu bemerken. Naja zuhause wieder angekommen schloss ich meine Festplatte wieder an meinen Rechner an und Schwupp die wupp war da das besagte würmchen. Da ich ja auch nun schon ein wenig Erfahrung habe, habe ich es erst versucht mit Avast zu löschen, aber nun kommt die meldung wieder ich will wieder löschen und es wird mir gesagt die Datei würde nicht existieren.

Hier erst mal ein HJT mit der angeschlossenen Festplatte:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:36:29, on 17.01.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\oodtray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\oodag.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programme\Mozilla Firefox\firefox.exe

D:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
 

--

End of file - 3643 bytes

Ich lasse grade noch Malewarebytes Anti-Malware durchlaufen um zu schauen ob sich nicht evtl. noch mehr versteckt.

Hoffe ihr könnt mir ein wenig weiter helfen.

Lg
Angel

Ich entschuldige mich schon mal im Voraus für den Doppelpost.
Malwarebytes Anti Malware ist leider immer noch am Festplatten durchsuchen.
Allerdings bekomme ich zwischenzeitlich gelegentlich meldungen von Avast das sich in der "autorun.exe" Ein Rootkit befindet habe ihn vorerst versucht mit Avast zu löschen, weis allerdings nicht ob das ein Fehler war. Die Festplatte zu formatieren wäre für mich eine der ungelegensten Sachen überhaupt, da sich dort sehr wichtige Daten befinden. Sobald Malewarebytes durch ist poste ich den Logfile.

Lg

Hi,

das HJ-Log ist unauffällig...

Wenn es wirklich ein Rootkit ist, wird MAM nichts finden...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

So hier schon mal die ersten 2 Logs:

Code:

info.txt logfile of random's system information tool 1.06 2010-01-17 19:51:32
 

======Uninstall list======
 

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Adobe Download Manager-->"C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1

Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Reader 7.0.8 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70800000002}

Anno 1701-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A2433A63-5F5D-40E5-B529-9123C2B3E734}\setup.exe" -l0x7  -removeonly

Ashampoo Burning Studio 6-->"C:\Programme\Ashampoo\Ashampoo Burning Studio 6\Uninstall\BS6_Uninstall.EXE"

Ashampoo WinOptimizer 4 FREE-->"D:\Programme\Ashampoo\Ashampoo WinOptimizer 4\unins000.exe"

avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup

BladeFTP FREE Edition v2.6-->D:\PROGRA~1\BLADEF~1\UNWISE.EXE D:\PROGRA~1\BLADEF~1\INSTALL.LOG

CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"

Die Sims 2: Nightlife-->D:\2-Spiele\Sims2\Nightlife\EAUninstall.exe

Die Sims 2: Open For Business-->D:\2-Spiele\Sims2\Open for Business\EAUninstall.exe

Die Sims 2: Wilde Campus-Jahre-->D:\2-Spiele\Sims2\Wilde Campus Jahre\EAUninstall.exe

Die Sims 2-->D:\2-Spiele\Sims2\Sims2\EAUninstall.exe

Die Sims™ 2 Gute Reise-->D:\2-Spiele\Sims2\Gute Reise\EAUninstall.exe

Die Sims™ 2 Haustiere-->D:\2-Spiele\Sims2\Haustiere\EAUninstall.exe

Die Sims™ 2 Vier Jahreszeiten-->D:\2-Spiele\Sims2\Vier Jahreszeiten\EAUninstall.exe

HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall

ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly

Intel(R) Graphics Media Accelerator Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2782 PCI\VEN_8086&DEV_2582

IrfanView (remove only)-->D:\Programme\IrfanView\iv_uninstall.exe

Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}

Malwarebytes' Anti-Malware-->"D:\Programme\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe

Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}

Mozilla Firefox (3.0.17)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe

O&O Defrag Professional Edition-->MsiExec.exe /I{53480330-E1D1-41CA-B8F8-7F78644F7F50}

PowerISO-->"D:\Programme\PowerISO\uninstall.exe"

Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7  -removeonly

Roll-->C:\WINDOWS\UniFish3.exe D:\2-Spiele\Rollercoaster Tycoon 1\RollerCoaster Tycoon.log

RollerCoaster Tycoon 3-->"D:\2-Spiele\Rollercoaster Tycoon 3\uninst\unins000.exe"

Skype 3.0-->"C:\Programme\Skype\Phone\unins000.exe"

Skype Plugin Manager-->MsiExec.exe /I{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}

Sygate Personal Firewall-->MsiExec.exe /X{F860F390-78F4-4B45-8C1A-0489618E315B}

TeamSpeak 2 RC2-->D:\Programme\Teamspeak2_RC2\unins000.exe

TeamViewer 4-->C:\Programme\TeamViewer\Version4\uninstall.exe

Tomb Raider: Legend 1.2-->D:\2-Spiele\Tomb Raider - Legend\uninsttrl.exe

VideoLAN VLC media player 0.8.5-->D:\Programme\VideoLAN\VLC\uninstall.exe

Virtual DJ - Atomix Productions-->D:\PROGRA~1\VIRTUA~1\UNWISE.EXE D:\PROGRA~1\VIRTUA~1\INSTALL.LOG

Winamp-->"D:\Programme\Winamp\UninstWA.exe"

Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll

Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe

WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
 

======Security center information======
 

AV: avast! antivirus 4.8.1201 [VPS 100117-1]
 

======System event log======
 

Computer Name: MACHINENAME

Event Code: 55

Message: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.

Führen Sie chkdsk auf Volume "E:" aus.
 

Record Number: 5

Source Name: Ntfs

Time Written: 20091109184111.000000+060

Event Type: Fehler

User: 
 

Computer Name: MACHINENAME

Event Code: 55

Message: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.

Führen Sie chkdsk auf Volume "E:" aus.
 

Record Number: 4

Source Name: Ntfs

Time Written: 20091109184111.000000+060

Event Type: Fehler

User: 
 

Computer Name: MACHINENAME

Event Code: 6005

Message: Der Ereignisprotokolldienst wurde gestartet.
 

Record Number: 3

Source Name: EventLog

Time Written: 20091109184054.000000+060

Event Type: Informationen

User: 
 

Computer Name: MACHINENAME

Event Code: 6009

Message: Microsoft (R) Windows (R) 5.01. 2600  Uniprocessor Free.
 

Record Number: 2

Source Name: EventLog

Time Written: 20091109184054.000000+060

Event Type: Informationen

User: 
 

Computer Name: MACHINENAME

Event Code: 2

Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.
 

Record Number: 1

Source Name: Serial

Time Written: 20091109184111.000000+060

Event Type: Informationen

User: 
 

=====Application event log=====
 

Computer Name: KIRIKA

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.

Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
 

Record Number: 5

Source Name: LoadPerf

Time Written: 20091109184638.000000+060

Event Type: Informationen

User: 
 

Computer Name: KIRIKA

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.

Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
 

Record Number: 4

Source Name: LoadPerf

Time Written: 20091109184636.000000+060

Event Type: Informationen

User: 
 

Computer Name: KIRIKA

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.

Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
 

Record Number: 3

Source Name: LoadPerf

Time Written: 20091109184506.000000+060

Event Type: Informationen

User: 
 

Computer Name: KIRIKA

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.

Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
 

Record Number: 2

Source Name: LoadPerf

Time Written: 20091109184442.000000+060

Event Type: Informationen

User: 
 

Computer Name: KIRIKA

Event Code: 1000

Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.

Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
 

Record Number: 1

Source Name: LoadPerf

Time Written: 20091109184441.000000+060

Event Type: Informationen

User: 
 

======Environment variables======
 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

"windir"=%SystemRoot%

"OS"=Windows_NT

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel

"PROCESSOR_REVISION"=0401

"NUMBER_OF_PROCESSORS"=1

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"FP_NO_HOST_CHECK"=NO
 

-----------------EOF-----------------

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by DJ Kirika at 2010-01-17 19:51:15

Microsoft Windows XP Professional Service Pack 2

System drive C: has 13 GB (41%) free of 31 GB

Total RAM: 502 MB (21% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:51:29, on 17.01.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\oodtray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\oodag.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Windows Media Player\wmplayer.exe

D:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Dokumente und Einstellungen\DJ Kirika\Desktop\RSIT.exe

C:\Programme\Trend Micro\HijackThis\DJ Kirika.exe
 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
 

--

End of file - 3701 bytes
 

======Registry dump======
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-11-09 41760]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-11-09 73728]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-06-20 77824]

"OODefragTray"=C:\WINDOWS\system32\oodtray.exe [2007-05-16 2512392]

"SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2004-02-24 2372760]

"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2008-05-16 79224]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

C:\WINDOWS\system32\igfxsrvc.dll [2007-07-27 348160]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Programme\TeamViewer\Version4\TeamViewer.exe"="C:\Programme\TeamViewer\Version4\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application"

"D:\2-Spiele\Anno 1701\Anno1701.exe"="D:\2-Spiele\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701"

"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 

======List of files/folders created in the last 1 months======
 

2010-01-17 19:51:15 ----D---- C:\rsit

2010-01-17 14:36:10 ----D---- C:\Programme\Trend Micro

2010-01-13 14:01:06 ----A---- C:\WINDOWS\system32\aswBoot.exe

2010-01-06 11:55:42 ----RHD---- C:\Dokumente und Einstellungen\DJ Kirika\Anwendungsdaten\SecuROM

2010-01-06 11:55:42 ----A---- C:\WINDOWS\system32\CmdLineExt.dll
 

======List of files/folders modified in the last 1 months======
 

2010-01-17 19:51:24 ----D---- C:\WINDOWS\Prefetch

2010-01-17 19:05:18 ----D---- C:\Programme\Mozilla Firefox

2010-01-17 18:21:41 ----D---- C:\WINDOWS\Temp

2010-01-17 14:42:09 ----D---- C:\WINDOWS

2010-01-17 14:36:10 ----RD---- C:\Programme

2010-01-15 17:01:46 ----D---- C:\Dokumente und Einstellungen\DJ Kirika\Anwendungsdaten\Skype

2010-01-15 16:16:35 ----D---- C:\WINDOWS\system32\CatRoot2

2010-01-15 16:16:24 ----A---- C:\WINDOWS\system32\CmdLineExt03.dll

2010-01-13 14:01:40 ----N---- C:\WINDOWS\SchedLgU.Txt

2010-01-13 14:01:20 ----D---- C:\WINDOWS\system32\drivers

2010-01-13 14:01:18 ----D---- C:\WINDOWS\system32

2010-01-13 13:58:31 ----D---- C:\WINDOWS\security

2010-01-11 14:55:12 ----D---- C:\Dokumente und Einstellungen\DJ Kirika\Anwendungsdaten\teamspeak2

2010-01-06 14:11:57 ----D---- C:\WINDOWS\WinSxS

2010-01-06 11:48:57 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft

2010-01-05 13:15:25 ----SHD---- C:\WINDOWS\Installer

2010-01-05 13:15:25 ----D---- C:\Config.Msi

2009-12-20 12:44:24 ----HD---- C:\WINDOWS\inf
 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2008-05-16 26944]

R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 78416]

R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2008-05-16 42912]

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]

R1 SCDEmu;SCDEmu; C:\WINDOWS\system32\drivers\SCDEmu.sys [2008-03-14 46652]

R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys []

R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 20560]

R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2008-05-16 94416]

R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2009-11-09 271360]

R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2009-11-09 18048]

R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2004-02-02 11914]

R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-06-20 2324480]

R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2008-05-16 23152]

R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2001-08-18 9600]

R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2007-07-27 773565]

R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []

R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]

R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernetadapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]

R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]

R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]

S3 teamviewervpn;TeamViewer VPN Adapter; C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 25088]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
 

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2008-05-16 17272]

R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2008-05-16 144760]

R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-11-09 153376]

R2 O&O Defrag;O&O Defrag; C:\WINDOWS\system32\oodag.exe [2007-05-16 1050120]

R2 SmcService;Sygate Personal Firewall; C:\Programme\Sygate\SPF\smc.exe [2004-02-24 2372760]

R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]

R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2008-05-16 247160]

R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2008-05-16 349560]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

S3 getPlusHelper;getPlus(R) Helper; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
 

-----------------EOF-----------------

So dann zu meiner Frage da der Rootkit auf der usb platte gefunden worde, muss ich eig. alle platten durchsuchen lassen oder?

Hi,

ja. Aber stöpsele die Platte mit gedrückter SHIFT-Taste an, damit der autorun unterdrückt wird. Normalerweise installiert sich das Teil ja dann auf dem Rechner...
Was meldet AVAST?
Dein System ist veraltet, unbedingt SP3 und IE8 aufspielen...

Bis jetzt nichts zu finden, poste MAM&GMER-Log...

chris

MAM ist mir nach gut 4 h scan abgestürzt und gmer sucht noch.
Wobei ich das mit MAM noch nie hatte soll ich in den Fall nur mal die USB Platte mit MAM scannen? Die anderen waren bei mir unauffällig beim ersten Scannen waren bis es sich verabschiedet hat nur 2 Funde welche in der USB Platte gefunden worden.

Hi,

poste das GMER-Log sobald Du es hast....

chris

okay, das wird dann wohl noch ein wenige dauern da er nun insgeamt ca 700gb durchsuchen muss... :(
Bisher hat avast nicht weiter gemeldet, hab die funde die bisher waren immer gelöscht.

So hier dann erst mal das ertige Logfile von GMER

Code:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-17 22:07:04

Windows 5.1.2600 Service Pack 2

Running: wftv84dx.exe; Driver: C:\DOKUME~1\DJKIRI~1\LOKALE~1\Temp\uwtdqpod.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwClose [0xAAD08588]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateKey [0xAAD08444]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwCreateThread [0xF87DBC40]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDeleteValueKey [0xAAD08922]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDuplicateObject [0xAAD0801C]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwMapViewOfSection [0xF87DB8D0]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenKey [0xAAD0851E]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenProcess [0xAAD07F5C]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenThread [0xAAD07FC0]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwQueryValueKey [0xAAD0863E]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwRestoreKey [0xAAD085FE]

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwSetValueKey [0xAAD0877E]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwShutdownSystem [0xF87DBE70]

SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                             ZwTerminateProcess [0xF87DBE00]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           tcpip.sys!IPTransmit + 10B7                                                                                   AAE70CFA 6 Bytes  CALL F81BE200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           tcpip.sys!IPTransmit + 24D9                                                                                   AAE7211C 6 Bytes  CALL F81BE200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           tcpip.sys!IPTransmit + 4662                                                                                   AAE742A5 6 Bytes  CALL F81BE200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           wanarp.sys                                                                                                    F86B73FD 4 Bytes  CALL F81BE350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

.text           wanarp.sys                                                                                                    F86B7402 2 Bytes  [90, 90] {NOP ; NOP }

.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                        section is writeable [0xAA3A5300, 0x3ACC8, 0xE8000020]

.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                        section is writeable [0xF8822300, 0x1B7E, 0xE8000020]

?               System32\Drivers\hiber_WMILIB.SYS                                                                             Das System kann den angegebenen Pfad nicht finden. !
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                           [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                            [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                     [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                       [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                      [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                           [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                          [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                    [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                      [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                        [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                             [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                            [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                       [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                           [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                            [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                     [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                             [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                         [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                              [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                      [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                        [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                             [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                            [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                       [F81BEB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                     [F81BECB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                           [F81BEDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                            [F81BED50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\WINDOWS\system32\services.exe[612] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  00370002

IAT             C:\WINDOWS\system32\services.exe[612] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        00370000
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
 

Device          \Driver\aswTdi \Device\AswUdpFilter                                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
 

Device          \Driver\aswTdi \Device\ASWTDI                                                                                 wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

Device          \Driver\aswTdi \Device\AswTcpFilter                                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
 

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                      aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                         

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION                         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
 

---- EOF - GMER 1.0.15 ----

So, aber keine Meldung wegen evtl. rootkits oder kann es sein, das Avast diese schon durch die Aktion Löschen komplett beseitigt hat?

Hi,

ja, das log von GMER ist sauber...

Gehen wir nochmal mit Dr.Web drüber, der findet auch so manches Rootkit (es kann eigentlich nur ein autorun-virus gewesen sein, der versuchte ein rootkit zu installieren. der aufruf von sowas lässt sich einfach überwachen, will sagen: wenn avil das teil gekannt hat, kann er es durchaus komplett entfernt haben)...

Hast Du ggf. ein Backup? Würde gerne noch ein bestimmtes tool einsetzen...

Dr. Web:
Festplatte angehängt lassen...
http://www.trojaner-board.de/59299-a...eb-cureit.html

Um weitere Infektionen vorzubeugen (falls Du die Festplatte mal wieder irgendwohin mitnimmst):
Rechner unbedingt vom Netz nehmen, alle Scanner ausschalten und alle Laufwerke bei gedrückter SHIFT-Taste anschließen:
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://www.trojaner-board.de/72847-f...absichern.html

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
3. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Er hinterlässt eine autorun-datei die nicht so einfach überschrieben werden kann, damit kann sich ein autorun-virus nicht mehr auf die USB-Festplatte kopieren (außerdem wird autorun komplett ausgeschaltet)...

chris

Ein Backup habe ich von der Festplatte leider nicht. :(
Habe auch so keine möglichkeit 500gb auf meinem rechner zu sichern weil meine Festplatte dazu leider zu klein ist.
Dr.Web also im Abgesicherten Modus ausführen so wie es in der Anleitung steht, wenn ich das nun richtig verstanden habe.

Si sancho!
Gute Nacht, muss morgen um 06:15 raus...
chris

So, dann hier entlich das fertige log, lang hats gedauert aber manche funde kann ich nicht nachvollziehen weil die exe datein teilweise von original cd's stammen.

Code:

yugioh.exe\data020;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;

yugioh.exe\data021;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;

yugioh.exe\data022;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Ezula;;

yugioh.exe\data023;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Gator;;

yugioh.exe\data024;D:\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Trojan.Rameh;;

yugioh.exe;D:\C\Eigene Bilder\Hentai\Saver;Archiv enthält infizierte Objekte;Verschoben.;

A0026372.exe\data020;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.NewDotNet;;

A0026372.exe\data021;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.NewDotNet;;

A0026372.exe\data022;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.Ezula;;

A0026372.exe\data023;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Adware.Gator;;

A0026372.exe\data024;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026372.exe;Trojan.Rameh;;

A0026372.exe;D:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;

ComboFix.exe\32788R22FWJFW\List-C.bat;G:\exe. ordner\ComboFix.exe;Wahrscheinlich BATCH.Virus;;

ComboFix.exe;G:\exe. ordner;Archiv enthält infizierte Objekte;Verschoben.;

Kindersicherung.exe\30.file;G:\exe. ordner\Kindersicherung.exe;Wahrscheinlich BACKDOOR.Trojan;;

Kindersicherung.exe;G:\exe. ordner;Archiv enthält infizierte Objekte;Verschoben.;

kisi2009.exe/data002\{sys}\cchservice.exe;G:\exe. ordner\kisi2009.exe/data002;Wahrscheinlich WIN.WORM.Virus;;

data002;G:\exe. ordner;Archiv enthält infizierte Objekte;;

kisi2009.exe;G:\exe. ordner;Container enthält infizierte Objekte;Verschoben.;

TSMulti.exe;G:\exe. ordner;Wahrscheinlich MULDROP.Trojan;;

vnc-4_1_2-x86_win32.exe/data002\{app}\vncviewer.exe;G:\exe. ordner\vnc-4_1_2-x86_win32\vnc-4_1_2-x86_win32.exe/data002;Program.RemoteAdmin.51;;

data002;G:\exe. ordner\vnc-4_1_2-x86_win32;Archiv enthält infizierte Objekte;;

vnc-4_1_2-x86_win32.exe;G:\exe. ordner\vnc-4_1_2-x86_win32;Container enthält infizierte Objekte;Verschoben.;

jwgkvsq.vmx;G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665;Win32.HLLW.Shadow.based;Gelöscht.;

yugioh.exe\data020;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;

yugioh.exe\data021;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.NewDotNet;;

yugioh.exe\data022;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Ezula;;

yugioh.exe\data023;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Adware.Gator;;

yugioh.exe\data024;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver\yugioh.exe;Trojan.Rameh;;

yugioh.exe;G:\Sicherung Rechner\D\C\Eigene Bilder\Hentai\Saver;Archiv enthält infizierte Objekte;Verschoben.;

TSMulti.exe;G:\Sicherung Rechner\D\Programme\Teamspeak2_RC2;Wahrscheinlich MULDROP.Trojan;;

A0026363.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;BackDoor.IRC.Sdbot.8011;Gelöscht.;

A0026373.exe\32788R22FWJFW\List-C.bat;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026373.exe;Wahrscheinlich BATCH.Virus;;

A0026373.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;

A0026374.exe\30.file;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026374.exe;Wahrscheinlich BACKDOOR.Trojan;;

A0026374.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;

A0026375.exe/data002\{sys}\cchservice.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026375.exe/data002;Wahrscheinlich WIN.WORM.Virus;;

data002;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;;

A0026375.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Container enthält infizierte Objekte;Verschoben.;

A0026376.exe/data002\{app}\vncviewer.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026376.exe/data002;Program.RemoteAdmin.51;;

data002;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;;

A0026376.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Container enthält infizierte Objekte;Verschoben.;

A0026377.exe\data020;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.NewDotNet;;

A0026377.exe\data021;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.NewDotNet;;

A0026377.exe\data022;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.Ezula;;

A0026377.exe\data023;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Adware.Gator;;

A0026377.exe\data024;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63\A0026377.exe;Trojan.Rameh;;

A0026377.exe;G:\System Volume Information\_restore{B8EEDB55-503F-4BEF-9AE6-F4DA5EABB073}\RP63;Archiv enthält infizierte Objekte;Verschoben.;

Teilweise stammen auch nicht alle Datein von mir sondern auch noch vom meinem Freund, der die Festplatte mit nutzt über das Netzwerk. Sollte ich daher auch seinen Rechner überprüfen nach Viren?

Hi,

ja und die Systemwiederherstellung für das Laufwerk G ausschalten.
Für ein Datenlaufwerk ist das sowieso nicht notwendig...

chris

So soweit alles fertig, der andere Rechner ist sauber.
Wie bekomme ich nun die "Störenfriede" von meinem Rechner oder sind die nun schon weg? Glaube nicht.