Antivirus XP Pro Einstellungen

[raman]

Ja, da hast du dir ein TDSS rootkit eingefangen. Daten sichern und neu aufsetzen. Wahlweise Daten sichern und Combofix nutzen:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Wenn du noch weisst, wo, oder durch welchen Download du dir das eingefangen hast, dann immer her mit den Infos...

[phaze2]

ok, danke bin grad dabei combofix zu erledigen.

leider kann ich weiterhelfen wie und wo ich den virus eingefangen hab. heut morgen war nichts und als ich den rechner
das einzige was sein könnte, das ich auf seiten war wo ich nen fussball stream geschaut habe. usstream wars glaub ich

aber ich seh grad combofix ist grad löschen und neustarten des rechner infos gibts leich im post.

[Voyager]

das ich auf seiten war wo ich nen fussball stream geschaut habe

hattest du auf deinem Windows immer die Patche eingespielt ? ich sehe hier die mögliche Schwachstelle wie das passiert sein konnte.

[phaze2]

wie meinst das mit einspielen von patche?

ne das waren webplayer, wo ich direkt auf der seite angeschaut habe.

so das ist meine auswertung von combofix: oder kann ich die datei irgendwo einfügen, damit es ein wenig übersichtlicher wird?

ComboFix 09-05-02.4 - Alkan 02.05.2009 21:23.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Alkan\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Temporary Internet Files\fbk.sts
c:\windows\38896.exe
c:\windows\77338.exe
c:\windows\system32\erolisiz.ini
c:\windows\system32\uniq.tll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SEAGATE_COMMUNICATION
-------\Service_Seagate Communication


((((((((((((((((((((((( Dateien erstellt von 2009-04-02 bis 2009-05-02 ))))))))))))))))))))))))))))))
.

2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-02 18:10 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-02 17:50 . 2009-05-02 17:50 -------- d-----w c:\programme\Enigma Software Group
2009-05-02 16:59 . 2009-05-02 18:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-02 16:59 . 2009-05-02 16:59 -------- d-----w c:\programme\Avira
2009-05-02 15:22 . 2009-05-02 15:22 -------- d-----w c:\programme\Trend Micro
2009-05-02 14:27 . 2009-05-02 14:27 -------- d-sh--w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\.#
2009-04-30 20:43 . 2009-04-30 20:43 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\skypePM
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-04-17 21:10 . 2005-07-26 04:29 60416 ------w c:\windows\system32\dllcache\colbact.dll
2009-04-17 21:10 . 2009-03-06 13:59 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-17 21:10 . 2009-02-06 09:41 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-17 21:10 . 2009-02-09 10:00 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-17 21:10 . 2009-02-09 10:00 473088 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-17 21:10 . 2009-02-09 09:48 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-17 21:10 . 2009-02-09 10:00 678912 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-17 21:10 . 2009-02-09 10:00 740864 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-17 21:08 . 2008-04-21 21:25 217600 ------w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 19:26 . 2007-12-20 18:41 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-02 14:39 . 2009-02-02 14:39 51200 --sha-w c:\windows\system32\kolubagu.exe
2009-05-01 17:54 . 2008-01-05 23:39 138168 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-05-01 17:54 . 2008-01-05 23:38 189472 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-20 18:27 . 2009-04-20 18:27 4904 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-04-20 18:27 . 2001-08-18 10:00 506972 ----a-w c:\windows\system32\perfh007.dat
2009-04-20 18:27 . 2001-08-18 10:00 104100 ----a-w c:\windows\system32\perfc007.dat
2009-03-27 15:25 . 2008-01-05 23:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe
2009-03-16 19:54 . 2009-03-16 19:54 -------- d-----w c:\programme\Microsoft Office Outlook Connector
2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\programme\Microsoft
2009-03-16 19:50 . 2009-03-16 19:50 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-11 15:18 . 2007-12-20 19:13 46096 ----a-w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-06 13:59 . 2001-08-18 10:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2001-08-18 10:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 23:18 . 2009-01-23 16:01 168592 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe
2009-02-09 13:14 . 2001-08-18 10:00 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:39 . 2001-08-18 02:28 2065280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:39 . 2001-08-18 10:00 2188416 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:01 . 2001-08-18 10:00 736256 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:00 . 2001-08-18 10:00 740864 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:00 . 2001-08-18 10:00 678912 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:00 . 2001-08-18 10:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 09:48 . 2001-08-18 10:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 09:54 . 2001-08-18 10:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:52 . 2001-08-18 10:00 56320 ----a-w c:\windows\system32\secur32.dll
2008-11-14 14:58 . 2007-12-20 20:34 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-11-14 14:58 . 2007-12-20 20:34 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-14 14:58 . 2007-12-20 20:34 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-11-14 14:58 . 2007-12-20 20:34 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-11-14 14:58 . 2007-12-20 20:34 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
StickyNote.lnk - d:\programme\StickyNote\StickyNote.exe [2007-12-21 318976]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Acrobat Assistant 7.0"="d:\programme\Adobe\Distillr\Acrotray.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033
"BigDogPath"=c:\windows\VM_STI.EXE Philips SPC 200NC PC Camera
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NokiaMServer"=c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"d:\\Programme\\BearShare\\BearShare.exe"=
"d:\\Spiele\\Counterstrike\\cstrike.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"d:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Programme\\hlsw\\hlsw.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"d:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\System32\\PnkBstrA.exe"=
"c:\\WINDOWS\\System32\\PnkBstrB.exe"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\age2_x1.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\empires2.exe"=
"d:\\Spiele\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"d:\\Spiele\\Need for Speed MW\\speed.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"d:\\Programme\\Steam\\steamapps\\babyface187\\counter-strike\\hl.exe"=
"d:\\SpieleKONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"d:\\Spiele\\COD5\\CoDWaWmp.exe"=
"d:\\Spiele\\COD5\\CoDWaW.exe"=
"d:\\Spiele\\COD5\\CoDWaW_LANFixed.exe"=
"d:\\Spiele\\FIFA 09\\FIFA09.exe"=
"c:\\Dokumente und Einstellungen\\Alkan\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\WINDOWS\\System32\\dpnsvr.exe"=
"c:\\WINDOWS\\System32\\DXDiag.exe"=
"d:\\Spiele\\EA Games\\Battlefield2\\BF2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-04-12 13352]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
R3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
R3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
R3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
R3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
R3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
R3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\DRIVERS\s816bus.sys [2007-06-19 81832]
R3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]
R3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]
R3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]
R3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]
R3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s816obex.sys [2007-06-19 97320]
R3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\DRIVERS\s816unic.sys [2007-06-19 97704]
R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\svcntaux.exe [2007-08-02 729416]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-02 108289]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E1FF3E6-CB7E-08D2-9208-CEAD26BD849F}]
c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe s
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = go.microsoft.com/fwlink/?LinkId=69157
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.info/objects/NpFp415.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1207322465
FF - ProfilePath - c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Mozilla\Firefox\Profiles\1qu4bk6h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: d:\programme\Adobe\Acrobat\browser\nppdf32.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\programme\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-02 21:27
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys 90112 bytes
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll 65536 bytes
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat 16384 bytes
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll 24576 bytes
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll 24576 bytes
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat 8192 bytes
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat 8192 bytes
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll 65536 bytes
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll 24576 bytes
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll 24576 bytes
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat 8192 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000 0 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp 114688 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp 344064 bytes
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp 139264 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 15

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1177238915-823518204-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c2,dc,b3,a5,6a,7c,31,53,d1,58,09,1e,3e,55,1b,81,ff,cc,eb,70,8f,
28,f1,a7,93,e9,17,9f,7f,5b,68,6c,4e,ab,3c,0a,9c,c7,66,2d,2b,91,b3,bc,95,24,\
"rkeysecu"=hex:57,c8,56,fa,55,e0,1c,c5,e2,b4,6e,9a,3b,5d,9b,e2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2984)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\BRSS01A.EXE
c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
d:\programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\SYSTEM32\PNKBSTRA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-02 21:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-02 19:29

Vor Suchlauf: 2.717.876.224 Bytes frei
Nach Suchlauf: 2.736.119.808 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
275 --- E O F --- 2009-05-02 00:11

[raman]

Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

QUELLTEXT

http://www.rokop-security.de/index.php?showtopic=18591&st=20&#entry272899

Driver::
ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy

collect::
c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp
c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

[phaze2]

also, dass ist mal das ergebnis:

ComboFix 09-05-02.4 - Alkan 02.05.2009 21:53.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.705 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Alkan\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Alkan\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)

file zipped: c:\windows\system32\drivers\Collect_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
file zipped: c:\windows\system32\Collect_ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat.vir
file zipped: c:\windows\system32\Collect_ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat.vir
file zipped: c:\windows\system32\Collect_ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat.vir
file zipped: c:\windows\system32\Collect_ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll.vir
file zipped: c:\windows\system32\Collect_ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat.vir
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000
c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp
c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll
c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat
c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat
c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll
c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll
c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat
c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll
c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthlhrqjknijenkvwqomqytepavbotsvcni


((((((((((((((((((((((( Dateien erstellt von 2009-04-02 bis 2009-05-02 ))))))))))))))))))))))))))))))
.

2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-02 18:10 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-02 17:50 . 2009-05-02 17:50 -------- d-----w c:\programme\Enigma Software Group
2009-05-02 16:59 . 2009-05-02 18:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-02 16:59 . 2009-05-02 16:59 -------- d-----w c:\programme\Avira
2009-05-02 15:22 . 2009-05-02 15:22 -------- d-----w c:\programme\Trend Micro
2009-05-02 14:27 . 2009-05-02 14:27 -------- d-sh--w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\.#
2009-04-30 20:43 . 2009-04-30 20:43 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\skypePM
2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-04-17 21:10 . 2005-07-26 04:29 60416 ------w c:\windows\system32\dllcache\colbact.dll
2009-04-17 21:10 . 2009-03-06 13:59 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-17 21:10 . 2009-02-06 09:41 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-17 21:10 . 2009-02-09 10:00 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-17 21:10 . 2009-02-09 10:00 473088 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-17 21:10 . 2009-02-09 09:48 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-17 21:10 . 2009-02-09 10:00 678912 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-17 21:10 . 2009-02-09 10:00 740864 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-17 21:08 . 2008-04-21 21:25 217600 ------w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 19:56 . 2007-12-20 18:41 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-02 14:39 . 2009-02-02 14:39 51200 --sha-w c:\windows\system32\kolubagu.exe
2009-05-01 17:54 . 2008-01-05 23:39 138168 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-05-01 17:54 . 2008-01-05 23:38 189472 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-20 18:27 . 2009-04-20 18:27 4904 ----a-w c:\windows\system32\PerfStringBackup.TMP
2009-04-20 18:27 . 2001-08-18 10:00 506972 ----a-w c:\windows\system32\perfh007.dat
2009-04-20 18:27 . 2001-08-18 10:00 104100 ----a-w c:\windows\system32\perfc007.dat
2009-03-27 15:25 . 2008-01-05 23:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe
2009-03-16 19:54 . 2009-03-16 19:54 -------- d-----w c:\programme\Microsoft Office Outlook Connector
2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\programme\Microsoft
2009-03-16 19:50 . 2009-03-16 19:50 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-03-11 15:18 . 2007-12-20 19:13 46096 ----a-w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-06 13:59 . 2001-08-18 10:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2001-08-18 10:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-03-01 23:18 . 2009-01-23 16:01 168592 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe
2009-02-09 13:14 . 2001-08-18 10:00 1846400 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:39 . 2001-08-18 02:28 2065280 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:39 . 2001-08-18 10:00 2188416 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 10:01 . 2001-08-18 10:00 736256 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:00 . 2001-08-18 10:00 740864 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:00 . 2001-08-18 10:00 678912 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:00 . 2001-08-18 10:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 09:48 . 2001-08-18 10:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
2009-02-06 09:54 . 2001-08-18 10:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:52 . 2001-08-18 10:00 56320 ----a-w c:\windows\system32\secur32.dll
2008-11-14 14:58 . 2007-12-20 20:34 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-11-14 14:58 . 2007-12-20 20:34 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-11-14 14:58 . 2007-12-20 20:34 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-11-14 14:58 . 2007-12-20 20:34 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-11-14 14:58 . 2007-12-20 20:34 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-02_19.27.27 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-20 18:43 . 2009-05-02 19:22 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-12-20 18:43 . 2009-05-02 19:52 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-12-20 18:43 . 2009-05-02 19:52 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-20 18:43 . 2009-05-02 19:22 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-20 18:43 . 2009-05-02 19:52 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2007-12-20 18:43 . 2009-05-02 19:22 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
StickyNote.lnk - d:\programme\StickyNote\StickyNote.exe [2007-12-21 318976]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"Acrobat Assistant 7.0"="d:\programme\Adobe\Distillr\Acrotray.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033
"BigDogPath"=c:\windows\VM_STI.EXE Philips SPC 200NC PC Camera
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"NokiaMServer"=c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"d:\\Programme\\BearShare\\BearShare.exe"=
"d:\\Spiele\\Counterstrike\\cstrike.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"d:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"d:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Programme\\hlsw\\hlsw.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"d:\\Spiele\\TmNationsForever\\TmForever.exe"=
"c:\\WINDOWS\\System32\\PnkBstrA.exe"=
"c:\\WINDOWS\\System32\\PnkBstrB.exe"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\age2_x1.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"d:\\Spiele\\Age of Empires 2 Sein Vater\\empires2.exe"=
"d:\\Spiele\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"d:\\Spiele\\Need for Speed MW\\speed.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"d:\\Programme\\Steam\\steamapps\\babyface187\\counter-strike\\hl.exe"=
"d:\\SpieleKONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"d:\\Spiele\\COD5\\CoDWaWmp.exe"=
"d:\\Spiele\\COD5\\CoDWaW.exe"=
"d:\\Spiele\\COD5\\CoDWaW_LANFixed.exe"=
"d:\\Spiele\\FIFA 09\\FIFA09.exe"=
"c:\\Dokumente und Einstellungen\\Alkan\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\WINDOWS\\System32\\dpnsvr.exe"=
"c:\\WINDOWS\\System32\\DXDiag.exe"=
"d:\\Spiele\\EA Games\\Battlefield2\\BF2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-04-12 13352]
R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]
R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]
R3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-04-24 83336]
R3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112]
R3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-04-24 108680]
R3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488]
R3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-04-24 98696]
R3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\DRIVERS\s816bus.sys [2007-06-19 81832]
R3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]
R3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]
R3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]
R3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]
R3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s816obex.sys [2007-06-19 97320]
R3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\DRIVERS\s816unic.sys [2007-06-19 97704]
R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\svcntaux.exe [2007-08-02 729416]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-02 108289]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E1FF3E6-CB7E-08D2-9208-CEAD26BD849F}]
c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe s
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = go.microsoft.com/fwlink/?LinkId=69157
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.info/objects/NpFp415.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1207322465
FF - ProfilePath - c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Mozilla\Firefox\Profiles\1qu4bk6h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: d:\programme\Adobe\Acrobat\browser\nppdf32.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\programme\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-02 21:57
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1177238915-823518204-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c2,dc,b3,a5,6a,7c,31,53,d1,58,09,1e,3e,55,1b,81,ff,cc,eb,70,8f,
28,f1,a7,93,e9,17,9f,7f,5b,68,6c,4e,ab,3c,0a,9c,c7,66,2d,2b,91,b3,bc,95,24,\
"rkeysecu"=hex:57,c8,56,fa,55,e0,1c,c5,e2,b4,6e,9a,3b,5d,9b,e2
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\BRSS01A.EXE
c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
d:\programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\SYSTEM32\PNKBSTRA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-02 21:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-02 19:59
ComboFix2.txt 2009-05-02 19:29

Vor Suchlauf: 2.662.637.568 Bytes frei
Nach Suchlauf: 2.736.685.056 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
282 --- E O F --- 2009-05-02 00:11
Hochladen war erfolgreich


hoffe ihr könnt mir weiterhelfen

Der Beitrag wurde von phaze2 bearbeitet: 02.05.2009, 21:03

[Catweazle]

Mach das was raman dir vorgeschlagen hatte, bitte.

Und wen ihr weiter gekommen seit, zwecks der MALWARE bekämfung, also eventuell dein Rechner Clean sein sollte, oder auch nicht, spiele bitte den Service Pack 3 auf auch SP3 gennant. Aber auch bein einer NEUINSTALLATION, kann man alles machen.

Aber ich will den Proifis, nicht vorgreifen.

Mache Bitte das was raman, dier geschreiben hatte.

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 02.05.2009, 21:10

[phaze2]

so wollte es doch raman haben, dachte ich. ich hätt die notepad dateien, aufs combofix ziehen sollen und anschließend, den
neuen report/log-datei ins forum posten sollen. das hab ich gemacht.

also, das pop-up fenster sollte das uploaden des neuen logs bewirken, oder hab ich das falsch interpretiert??


@Catweazle

also als das SP3 neu rauskam hatte ich es mal installiert gehabt, aber danach hatte ich nur probleme. bin nicht ins
netz gekommen, alles wurde langsamer und hab dann ne systemwiederherstellung gemacht.

Der Beitrag wurde von phaze2 bearbeitet: 02.05.2009, 21:25

[raman]

phaze2, das was du gemacht hast war richtig. Das Rootkit ist nun weg.

Du hast noch 2 Dateien im Quarantaene Ordner:

C:\Qoobox\Quarantine\C\WINDOWS\38896.exe.vir
C:\Qoobox\Quarantine\C\WINDOWS\77338.exe.vir

Die Dateien sind anscheinend recht gross.
Koenntest du sie hier hochladen?
http://www.bleepingcomputer.com/submit-mal....php?channel=49

Nutze bitte auch noch MBR.EXE:

* Downloade die MBR.exe von Gmer http://www2.gmer.net/mbr/mbr.exe und
* speichere es auf Deinem Desktop.
* Mache einen Doppelklick auf das Programm, um es zu starten.
* Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
* Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
* Poste mir den Inhalt dieser Logdatei hier in den Thread.

[phaze2]

also die 38896.exe.vir kann ich als datei leider nicht hochladen, das es knapp über 7mb groß ist

die zweite datei hab ich gerade erflogreich hochgeladen.

soll ich jetzt trotzdem mal mit mbr anfangen?

[raman]

Oh man, ich vergess immer die haelfte...


Koenntest du das auch noch hochladen?
c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe

Teste die beiden Dateien bitte auch bei www.virustotal.com
Es kann sein, das du den Explorer so einstaellen musst, das du die Dateien sehen kannst:
http://freenet-homepage.de/rene-gad/invisible.html


Nachtrag: Ja, mbr Report bite auch posten. Dauert nur Sekunden...

[raman]

Zu deiner hochgeladenen Datei!

77338.exe.vir Backdoor.Win32.mIRC-based



Es waere nett, wenn du die anderen Dateien noch testen lassen koenntest, aber hier hilft wirkllich am besten den PC neu aufzusetzen, bzw das zeitnah zu machen.

Wenn du die andere Datei durch "packen" verkleinerst, ist sie dann klein genug fuer den Upload?

[Voyager]

ich kann mir momentan nicht wirklich vorstellen das die ganze Malware über einen infizierten Fussball Stream gekommen ist , obwohl es vll. möglich wäre durch ungepatchten Browser und dann wurde alles nach und nach nachgeladen ?!
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe
das hier ist vom letzten Monat .

2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll
das ist auch verdächtig.

Der Beitrag wurde von Voyager bearbeitet: 02.05.2009, 21:48

[phaze2]

das ist mal von mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.5 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86cb1008

user & kernel MBR OK


leider ist die datei immernoch zu groß. ich bekomm immernoch von antivir den virenbescheid TR/Dropper.gen

c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe

kann die beiden dateien nicht upload, da ich sie beim "durchsuchen" zum upload nicht funde, aber wenn ich sie so suche wie es mir beschrieben hab
waren sie zu sehen und wurden als VenDu virus erkannt




Der Beitrag wurde von phaze2 bearbeitet: 02.05.2009, 21:51

[raman]

Dann lade bitte die anderen beiden Dateien hoch und poste dann ein neuen Antivir Report. Mal sehen, wo es was meldet...

[phaze2]

c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe

kann die beiden dateien nicht uploaden, da ich sie beim "durchsuchen" zum upload nicht finde, aber wenn ich sie so suche wie es mir beschrieben hab
waren sie zu sehen und wurden als VenDu virus erkannt hab sie dann halt mal gelöscht, aber antivir läuft noch

[raman]

Der Link zu den Virustotal Ergebnissen waere hilfreich gewesen, aber auch kein grosses Problem...

[phaze2]

also hier mal der antivir-report:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. Mai 2009 23:11

Es wird nach 1373854 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Alkan
Computername : BABYFACE

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 02.05.2009 18:07:34
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:28
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 18:07:34
ANTIVIR3.VDF : 7.1.3.141 21504 Bytes 02.05.2009 18:07:34
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 18:07:34
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 02.05.2009 18:07:34
AESCN.DLL : 8.1.1.10 127348 Bytes 02.05.2009 18:07:34
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:42
AEPACK.DLL : 8.1.3.14 397685 Bytes 02.05.2009 18:07:34
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:58
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 02.05.2009 18:07:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:58
AEGEN.DLL : 8.1.1.39 348532 Bytes 02.05.2009 18:07:34
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 02.05.2009 18:07:34
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 02.05.2009 18:07:34
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:22
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 02.05.2009 18:07:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 2. Mai 2009 23:11

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StickyNote.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-172635-358.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-194557-986.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001149.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001150.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001156.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001218.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001220.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001221.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
C:\Qoobox\Quarantine\[4]-Submit_2009-05-02_21.53.16.zip
[0] Archivtyp: ZIP
--> Collect_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> Collect_ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
--> Collect_ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou_.dll.zip
[0] Archivtyp: ZIP
--> ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthfdktnwkipyppsturcvbvstvsievirnbc_.dll.zip
[0] Archivtyp: ZIP
--> ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy_.sys.zip
[0] Archivtyp: ZIP
--> ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
--> ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.1
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-172635-358.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5fbb5c.qua' verschoben!
C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-194557-986.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5fbb5d.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001149.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2cbb2c.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001150.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5aca75.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001156.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b55339d.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001218.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b59d2bd.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001220.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b543bc5.qua' verschoben!
C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001221.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4935349d.qua' verschoben!
C:\Qoobox\Quarantine\[4]-Submit_2009-05-02_21.53.16.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a59bb30.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a62bb72.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou_.dll.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a72bb6b.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthfdktnwkipyppsturcvbvstvsievirnbc_.dll.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e226754.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49792433.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497e1c7b.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497f15a3.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c0deb.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49427d5b.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy_.sys.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4953769c.qua' verschoben!


Ende des Suchlaufs: Samstag, 2. Mai 2009 23:28
Benötigte Zeit: 16:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6073 Verzeichnisse wurden überprüft
229122 Dateien wurden geprüft
25 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
18 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
229094 Dateien ohne Befall
1581 Archive wurden durchsucht
3 Warnungen
19 Hinweise

Ergänzung von mir:

Die Datei 'C:\Dokumente und Einstellungen\Alkan\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a69b704.qua' verschoben


Die Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DGUYQANV\lsp[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6cb708.qua' verschoben!



und die beiden dateien konnte ich nicht hochladen, wie gesagt weil ich sie beim durchsuchen nicht gefunden hab,
sondern nur durch start/suchen finden konnte und anders wurden sie mir nicht angezeigt.

c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe


also am besten sollt ich, den rechner formartieren und winwods neu draufsetzen.

meine letzte frage lautet: wenn meine c partition von viren befallen ist, sind meine anderen partitionen auf der selben platte auch betroffen? oder kann ich getrost format c: machen und habe meine back up dateien auf den anderen partitionen?

ich danke euch für eure hilfe, aber heut ist mal genug fü+r mich. hab shcon ziemliches kopfweh bekommen.

werd mich mal morgen eventuell melden. einen schönen abend euch noch.

mfg alkan

[Kenshiro]

edit:

Ralf hast Recht, ich war noch nicht ganz wach


Der Beitrag wurde von Kenshiro bearbeitet: 03.05.2009, 08:55

[raman]

Neu aufsetzen ist in diesem Fall wirklich das beste, sauberste und im endeffekt sogar das schnellste. Die Daten auf den anderen Partitionnen sollten bei dieser Art Infektion nicht betroffen sein. Auch wenn, wuerde diese erst wieder aktiv, wenn du die verseuchten Dateien starten wuerdest.

Eine "Anleitung" fuer das neu Aufsetzen findest du u.a. hier:
http://www.rokop-security.de/index.php?showtopic=17495

wichtig ist das installieren des SP3, bevor du das erste mal ins Internet verbindest.

Kenshiro, warum sollte er die Serno. weg lassen, ist eh die Free Version von Avira...

Nachtrag: Passworte solltest du ebenfalls alle aendern!