[Windows XP-32 bit] GMER Rootkit-Detector anwenden [GELÖST] - Paules-PC-Forum.de

Heinrich Pumpernicke · 01.02.2011, 17:51

Guten Abend,

ich möchte hier um Hilfe bitten.

Von der Telekom bekam ich ein Schreiben, dass von meinem Zugang schadhafter Code versendet würde. Das darf natürlich nicht sein, ich kann mir auch nicht so recht vorstellen, wie das sein kann. Ich bin aber auch nur Nutzer des Internet, ansonsten habe ich null Ahnung.

Seit langem nutze ich Antivir Premium, Malwarebites und Spybot.

Nach der Telekom Mitteilung habe ich die genannten Anwendungen suchen lassen. Es wurde nichts gefunden, und ich habe es der Telekom mitgeteilt.

Mir wurde daraufhin ohne weitere Erklärung GMER empfohlen. Ich habe es geladen, werde aber nicht schlau daraus. Ich fand dann hier bei Paules-PC-Forum den Artikel über die GMER-Anwendung und habe ihn mir ausgedruckt. Dann habe ich den Quickscan laufen lassen und möchte das Logfile hier abdrucken.

Wäre wohl jemand bereit, es sich anzusehen und mir weitere Hilfe zu geben? Ich bitte um weitere Nachricht und füge jetzt das Logfile ein:

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2011-02-01 17:22:03
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST380020A rev.3.34
Running: wtb7m5ml.exe; Driver: C:\DOKUME~1\GNTHER~1\LOKALE~1\Temp\axryyfoc.sys

---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----

Viele Grüße

Heinrich

**WhiteKnight** · 01.02.2011, 19:41

Hallo

Wir können der Sache gerne auf den Grund gehen. Dafür brauchen wir ein paar mehr Reporte.

Bitte einen Hijackthis Anleitung log posten

dann die Phase II abarbeiten
Anleitung zum Löschen von Viren / Thread erstellen
Reporte posten

Heinrich Pumpernicke · 01.02.2011, 20:26

Oh, das ging schnell!

Hier erstmal das Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:06, on 01.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe
C:\Programme\Avira\AntiVir Desktop\update.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1283104051453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1283104171437
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
--
End of file - 4377 bytes

Die anderen Aufgaben erledige ich anschließend.

Gruß

Heinrich

**WhiteKnight** · 01.02.2011, 20:44

Hallo

Bis jetzt ist alles unauffällig. Bitte nun Phase II abarbeiten und posten.

Heinrich Pumpernicke · 03.02.2011, 13:46

Hallo WhiteKnight,

Leider muss ich, bevor es weitergehen kann, erstmal eine ahnungslose Frage stellen.

Ich habe mehrmals versucht, den WindowsScan-Report unter "Direkt antworten" zu senden. Das kopieren hierher hat noch geklappt, aber beim Senden tut sich nichts, nach langer Zeit kommt eine Error-Meldung.

Überwiegend zeigt der Report wohl WEB-Adressen, die Spybot bekämpft.

Kann es sein, dass das Logfile zu groß ist, um es hier zu senden?

Mit freundlichen Grüßen

Heinrich

**WhiteKnight** · 03.02.2011, 13:49

Hallo

Ja das kann gut sein. Spybot fügt das dort ein. Kürze den Report einfach bis zu den ersten Webadressen

Heinrich Pumpernicke · 03.02.2011, 13:59

Hi,

Die "Spybot-Adressen" habe ich jetzt nicht mit kopiert.
deshalb nun hier der Beginn des Reports:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

03.02.2011 WindowsUpdate.log 10 22:1.149.983
03.02.2011 0.log 10 07:0
03.02.2011 wiadebug.log 10 04:159
03.02.2011 wiaservc.log 10 04:50
03.02.2011 bootstat.dat 10 04:2.048
02.02.2011 SchedLgU.Txt 17 17:32.572
02.02.2011 setupapi.log 16 13:7.479
01.02.2011 BRWMARK.INI 14 31:468
30.01.2011 wmsetup.log 14 17:399
21.11.2010 win.ini 17 21:650
14.11.2010 Ausba3.INI 17 42:2.662
14.11.2010 Dusb3ar.ini 17 42:11.464
14.11.2010 ULEAD32.INI 17 41:603
11.11.2010 GAB.ANN 18 02:4
11.11.2010 euroglot.ini 18 02:104
11.11.2010 mmski.INI 18 01:31
07.11.2010 BadPixelInfo3.txt 19 14:1.503
07.11.2010 AErroru3.dat 19 14:400
07.11.2010 EWhiteu12.dat 19 14:30.720
07.11.2010 EDarku12.dat 19 14:30.720
07.11.2010 EOffsetu.dat 19 14:3
07.11.2010 EGain6.dat 19 14:3
07.11.2010 EExpou.dat 19 14:6
19.10.2010 Sti_Trace.log 15 10:0
26.09.2010 WMSysPr9.prx 10 44:316.640
21.09.2010 CMMIXER.INI 18 40:101
21.09.2010 mixerdef.ini 18 38:25

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

29.01.2011 wpa.dbl 14 16:2.206
04.01.2011 MRT.exe 17 20:37.403.080
21.12.2010 jupdate-1.6.0_23-b05.log 11 02:3.755
16.12.2010 FNTCACHE.DAT 17 05:306.808
16.12.2010 TZLog.log 07 19:12.468
30.11.2010 RegShellSM.exe 15 15:536.064
30.11.2010 23415d4.exe 15 15:70.144
30.11.2010 autorun.inf 15 13:433
18.11.2010 isign32.dll 19 12:86.016
12.11.2010 javaws.exe 18 53:157.472
12.11.2010 javaw.exe 18 53:145.184
12.11.2010 java.exe 18 53:145.184
12.11.2010 deployJava1.dll 18 53:472.808
12.11.2010 javacpl.cpl 16 34:73.728
10.11.2010 jupdate-1.6.0_22-b04.log 10 59:4.055
09.11.2010 odbc32.dll 15 51:249.856
06.11.2010 wininet.dll 01 21:916.480
06.11.2010 urlmon.dll 01 21:1.210.880
06.11.2010 mstime.dll 01 21:611.840
06.11.2010 occache.dll 01 21:206.848
06.11.2010 mshtml.dll 01 21:5.959.168
06.11.2010 mshtmled.dll 01 21:66.560
06.11.2010 msfeedsbs.dll 01 21:55.296
06.11.2010 licmgr10.dll 01 21:43.520
06.11.2010 jsproxy.dll 01 21:25.600
06.11.2010 inetcpl.cpl 01 21:1.469.440
06.11.2010 msfeeds.dll 01 21:602.112
06.11.2010 iertutil.dll 01 21:1.991.680
06.11.2010 iepeers.dll 01 21:184.320
06.11.2010 ieframe.dll 01 21:11.080.704
06.11.2010 iedkcs32.dll 01 21:387.584
03.11.2010 tzchange.exe 14 12:46.080
03.11.2010 ie4uinit.exe 13 26:173.568
03.11.2010 html.iec 13 25:385.024
31.10.2010 perfh009.dat 13 24:472.438
31.10.2010 perfh007.dat 13 24:491.948
31.10.2010 perfc009.dat 13 24:75.532
31.10.2010 perfc007.dat 13 24:90.338
31.10.2010 PerfStringBackup.INI 13 24:1.146.474
28.10.2010 atmfd.dll 14 12:290.048
26.10.2010 win32k.sys 15 05:1.853.440
23.10.2010 Bildschirmreinigung.scr.xls 15 53:1.761.280
13.10.2010 fpres632.dll 16 40:405.504
13.10.2010 fpmon6.dll 08 59:397.312
26.09.2010 amcompat.tlb 10 46:16.832
26.09.2010 nscompat.tlb 10 46:23.392
18.09.2010 mfc42u.dll 11 22:974.848

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com

Ich mache jetzt weiter mit CCleaner und melde mich dann wieder.

Gruß

Heinrich

Heinrich Pumpernicke · 03.02.2011, 15:44

Hallo White Knight,

ich habe nun Combofix laufen lassen. Obwohl ich AntiVir deaktiviert hatte, kam zwischendurch eine Meldung von AV, bei der ich dann sinngemäß "Combofix immer vertrauen" eingestellt habe. Dann verschwand die Meldung wieder.
Im Sicherheitscenter war nach dem Scan AV immer noch deaktiviert, was ich jetzt wieder geändert habe.

Hier nun Combofix.txt:

ComboFix 11-01-31.02 - Günther 03.02.2011 14:53:03.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.255.128 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Günther\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Desktop\DriveCleaner.lnk
c:\windows\system32\AutoRun.inf
S:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2011-01-03 bis 2011-02-03 ))))))))))))))))))))))))))))))
.
2011-02-01 20:48 . 2011-02-03 10:48 -------- d-----w- c:\programme\WindowsScan
2011-02-01 19:05 . 2011-02-01 19:05 396288 ----a-w- c:\programme\HijackThis.exe
2011-02-01 14:51 . 2011-02-01 14:51 296448 ----a-w- c:\programme\wtb7m5ml.exe
2011-01-22 19:56 . 2011-01-22 19:56 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\XMedia Recode
2011-01-22 16:24 . 2011-01-22 16:24 -------- d-----w- c:\dokumente und einstellungen\Günther\Lokale Einstellungen\Anwendungsdaten\Help
2011-01-22 16:05 . 2011-01-22 16:05 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\ElevatedDiagnostics
2011-01-13 08:14 . 2011-01-13 08:14 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-08-30 06:44 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-30 06:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 16:02 . 2010-08-30 06:28 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-30 14:15 . 2010-11-30 14:15 536064 ----a-w- c:\windows\system32\RegShellSM.exe
2010-11-30 14:15 . 2010-11-30 14:15 70144 ----a-w- c:\windows\system32\23415d4.exe
2010-11-22 11:45 . 2010-08-30 06:28 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2010-08-29 16:06 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-09-04 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-09-04 17:53 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-09 14:51 . 2001-08-18 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2001-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2001-08-18 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2001-08-18 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
1997-11-03 14:24 . 2010-09-04 10:35 2321344 ----a-w- c:\programme\MMSKI.EXE
1997-09-26 13:11 . 2010-09-04 10:35 89224 ----a-w- c:\programme\WAVECONV.DLL
1995-11-15 13:10 . 2010-09-04 10:35 60928 ----a-w- c:\programme\MVIX14W.DLL
1995-11-15 13:09 . 2010-09-04 10:35 48736 ----a-w- c:\programme\MVMG14W.DLL
1995-11-15 13:08 . 2010-09-04 10:35 119616 ----a-w- c:\programme\MVCL14W.DLL
1995-11-15 13:08 . 2010-09-04 10:35 69072 ----a-w- c:\programme\MVMC14W.DLL
1995-11-15 13:07 . 2010-09-04 10:35 42336 ----a-w- c:\programme\MVTL14W.DLL
1995-11-15 13:07 . 2010-09-04 10:35 44976 ----a-w- c:\programme\MVSR14W.DLL
1995-11-15 13:06 . 2010-09-04 10:35 14544 ----a-w- c:\programme\MVBK14W.DLL
1995-11-15 13:02 . 2010-09-04 10:35 44512 ----a-w- c:\programme\MVFS14W.DLL
1995-11-15 13:01 . 2010-09-04 10:35 10016 ----a-w- c:\programme\MVUT14W.DLL
1995-01-12 22:15 . 2010-09-04 10:35 146976 ----a-w- c:\programme\MFCOLEUI.DLL
.
------- Sigcheck -------
[-] 2010-08-17 . 258DD5D4283FD9F9A7166BE9AE45CE73 . 58880 . . [5.1.2600.6024] . . c:\windows\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe
[-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\spoolsv.exe
[-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\dllcache\spoolsv.exe
[7] 2008-04-14 . 39356A9CDB6753A6D13A4072A9F5A4BB . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe
[7] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3gdr \usp10.dll
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll
[-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll
[-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3qfe \usp10.dll
[7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\ServicePackFiles\i386\usp10.dll
[7] 2004-08-03 . E4E40EAFF464EBE7752BAD3D82AF1715 . 406528 . . [1.0420.2600.2180] . . c:\windows\$NtServicePackUninstall$\usp10.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup=c:\windows\pss\ScanPanel.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
R0 multa;multa;c:\windows\System32\drivers\juwjkvyk.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys [2001-06-07 18120]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [2010-11-02 339624]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-11-02 403624]
S3 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\DRIVERS\WDMCAPI.sys [2001-05-24 610979]
S3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\DRIVERS\wdmwanmp.sys [2001-04-22 25817]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{C424171E-592A-415A-9EB1-DFD6D95D3530} - (no file)

**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-03 15:08
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
checkt.exe [2176]
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX .exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(832)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2011-02-03 15:21:30
ComboFix-quarantined-files.txt 2011-02-03 14:21
Vor Suchlauf: 6 Verzeichnis(se), 69.013.221.376 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 69.018.275.840 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
- - End Of File - - 212940AA1CF136C2C180EDB295A00AA7

Ich warte nun erstmal Deine Nachricht ab und bedanke mich für die Mühe.

MfG

Heinrich

**WhiteKnight** · 03.02.2011, 19:42

Hallo

Offenbar ein gefährlicher Wurm Befall. Ich möchte das mir morgen noch genauer anschauen. Bitte nun keine Scans mehr machen. Möglichst wenig im Internet machen.

Ich melde mich morgen.

**WhiteKnight** · 04.02.2011, 10:12

Hallo

Windows Taste + R drücken
-tippe: notepad
--> Ok drücken

kopiere rein (ohne das Wort Code):

Code:

KILLALL::

File::
c:\programme\wtb7m5ml.exe
c:\windows\system32\RegShellSM.exe
c:\windows\System32\drivers\juwjkvyk.sys
c:\windows\system32\23415d4.exe

Driver::
juwjkvyk

Speichere die Datei als cfscript.txt (all files/alle Dateien) auf dem Desktop

cfscript.txt nun mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden wie bekannt (Antvirusprogramm vorher beenden!)
poste den neuen log von Combofix

Lade dir Registry Search auf dem Desktop speichern & entpacken, doppelklick auf RegSearch.exe

Oben klicke auf search strings eingeben oder reinkopieren juwjkvyk
dann klicke auf OK,am Ende Scan Report speichern & hier posten Wieder hole dann auch mit 23415d4 - Report posten

Heinrich Pumpernicke · 04.02.2011, 20:23

Guten Abend,

hier zunächst der neue log von Combofix:

ComboFix 11-01-31.02 - Günther 04.02.2011 19:43:47.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.255.110 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Günther\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
((((((((((((((((((((((( Dateien erstellt von 2011-01-04 bis 2011-02-04 ))))))))))))))))))))))))))))))
.
2011-02-01 20:48 . 2011-02-03 10:48 -------- d-----w- c:\programme\WindowsScan
2011-02-01 19:05 . 2011-02-01 19:05 396288 ----a-w- c:\programme\HijackThis.exe
2011-02-01 14:51 . 2011-02-01 14:51 296448 ----a-w- c:\programme\wtb7m5ml.exe
2011-01-22 19:56 . 2011-01-22 19:56 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\XMedia Recode
2011-01-22 16:24 . 2011-01-22 16:24 -------- d-----w- c:\dokumente und einstellungen\Günther\Lokale Einstellungen\Anwendungsdaten\Help
2011-01-22 16:05 . 2011-01-22 16:05 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\ElevatedDiagnostics
2011-01-13 08:14 . 2011-01-13 08:14 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-08-30 06:44 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-30 06:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 16:02 . 2010-08-30 06:28 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-30 14:15 . 2010-11-30 14:15 536064 ----a-w- c:\windows\system32\RegShellSM.exe
2010-11-30 14:15 . 2010-11-30 14:15 70144 ----a-w- c:\windows\system32\23415d4.exe
2010-11-22 11:45 . 2010-08-30 06:28 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2010-08-29 16:06 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-09-04 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-09-04 17:53 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-09 14:51 . 2001-08-18 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll
1997-11-03 14:24 . 2010-09-04 10:35 2321344 ----a-w- c:\programme\MMSKI.EXE
1997-09-26 13:11 . 2010-09-04 10:35 89224 ----a-w- c:\programme\WAVECONV.DLL
1995-11-15 13:10 . 2010-09-04 10:35 60928 ----a-w- c:\programme\MVIX14W.DLL
1995-11-15 13:09 . 2010-09-04 10:35 48736 ----a-w- c:\programme\MVMG14W.DLL
1995-11-15 13:08 . 2010-09-04 10:35 119616 ----a-w- c:\programme\MVCL14W.DLL
1995-11-15 13:08 . 2010-09-04 10:35 69072 ----a-w- c:\programme\MVMC14W.DLL
1995-11-15 13:07 . 2010-09-04 10:35 42336 ----a-w- c:\programme\MVTL14W.DLL
1995-11-15 13:07 . 2010-09-04 10:35 44976 ----a-w- c:\programme\MVSR14W.DLL
1995-11-15 13:06 . 2010-09-04 10:35 14544 ----a-w- c:\programme\MVBK14W.DLL
1995-11-15 13:02 . 2010-09-04 10:35 44512 ----a-w- c:\programme\MVFS14W.DLL
1995-11-15 13:01 . 2010-09-04 10:35 10016 ----a-w- c:\programme\MVUT14W.DLL
1995-01-12 22:15 . 2010-09-04 10:35 146976 ----a-w- c:\programme\MFCOLEUI.DLL
.
------- Sigcheck -------
[-] 2010-08-17 . 258DD5D4283FD9F9A7166BE9AE45CE73 . 58880 . . [5.1.2600.6024] . . c:\windows\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe
[-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\spoolsv.exe
[-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\dllcache\spoolsv.exe
[7] 2008-04-14 . 39356A9CDB6753A6D13A4072A9F5A4BB . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe
[7] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3gdr \usp10.dll
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll
[-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll
[-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3qfe \usp10.dll
[7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\ServicePackFiles\i386\usp10.dll
[7] 2004-08-03 . E4E40EAFF464EBE7752BAD3D82AF1715 . 406528 . . [1.0420.2600.2180] . . c:\windows\$NtServicePackUninstall$\usp10.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup=c:\windows\pss\ScanPanel.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
R3 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\drivers\WDMCAPI.sys [24.05.2001 17:26 610979]
R3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\drivers\wdmwanmp.sys [22.04.2001 15:41 25817]
S0 multa;multa;c:\windows\system32\drivers\juwjkvyk.sys --> c:\windows\system32\drivers\juwjkvyk.sys [?]
S2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\drivers\ArtecGT.sys [31.08.2010 09:35 18120]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [30.08.2010 07:44 38224]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-04 19:59
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX .exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(816)
c:\programme\Avira\AntiVir Desktop\avsda.dll
- - - - - - - > 'explorer.exe'(780)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-02-04 20:09:05
ComboFix-quarantined-files.txt 2011-02-04 19:08
ComboFix2.txt 2011-02-03 14:21
Vor Suchlauf: 6 Verzeichnis(se), 69.035.122.688 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 69.020.532.736 Bytes frei
- - End Of File - - EEE3A9CCD2810F7E45876495658BE44A

Als nächstes dann Registry Search.

Gruß

Heinrich

Heinrich Pumpernicke · 04.02.2011, 20:53

Hallo,

hier der erste Scanreport:

Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 04.02.2011 20:33:22 for strings:
; 'juwjkvyk'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\multa]
; Contents of value:
; System32\drivers\juwjkvyk.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64, 00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6a,00,75,00,77,00,6a,00,6b,00,76,\
00,79,00,6b,00,2e,00,73,00,79,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\multa]
; Contents of value:
; System32\drivers\juwjkvyk.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64, 00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6a,00,75,00,77,00,6a,00,6b,00,76,\
00,79,00,6b,00,2e,00,73,00,79,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\multa]
; Contents of value:
; System32\drivers\juwjkvyk.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64, 00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6a,00,75,00,77,00,6a,00,6b,00,76,\
00,79,00,6b,00,2e,00,73,00,79,00,73,00,00,00
; End Of The Log...

und hier der zweite:

Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 04.02.2011 20:40:08 for strings:
; '23415d4'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

Grüße

Heinrich

markusg · 05.02.2011, 15:13

ohne meinem kolegen vor greifen zu wollen, kannst du das combofix script noch mal probieren?
start programme zubehör editor, kopiere:

KILLALL::
Rootkit::
c:\programme\wtb7m5ml.exe
c:\programme\MMSKI.EXE
c:\programme\WAVECONV.DLL

c:\windows\system32\RegShellSM.exe
c:\windows\System32\drivers\juwjkvyk.sys
c:\windows\system32\23415d4.exe
c:\programme\MVIX14W.DLL
c:\programme\MVMG14W.DLL
c:\programme\MVCL14W.DLL
c:\programme\MVMC14W.DLL
c:\programme\MVTL14W.DLL
c:\programme\MVSR14W.DLL
c:\programme\MVBK14W.DLL
c:\programme\MVFS14W.DLL
c:\programme\MVUT14W.DLL
c:\programme\MFCOLEUI.DLL

Driver::
juwjkvyk

Datei speichern unter, typ alle dateien, ort, dort wo sich combofix.exe befindet, name
cfscript.txt
ziehe cfscript auf combofix, programm startet log posten.
es sieht so aus als hätte das erste script net geklappt.

Heinrich Pumpernicke · 05.02.2011, 22:07

Guten Abend,

ich habe nochmal Combofix nach den vorstehenden Anweisungen laufen lassen. Ich weiß es nicht mehr genau, aber es könnte sein, dass ich beim vorigen Mal cfscript.txt mit der linken Maustaste auf das Combofix-Symbol gezogen habe. Das war wohl falsch, denn in der Anleitung stand ja ausdrücklich "rechte Maustaste".

Hier der neue log:

ComboFix 11-01-31.02 - Günther 05.02.2011 21:04:45.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.255.114 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Günther\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Günther\Desktop\cfscript.txt
AV: AntiVir Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_multa

((((((((((((((((((((((( Dateien erstellt von 2011-01-05 bis 2011-02-05 ))))))))))))))))))))))))))))))
.
2011-02-01 20:48 . 2011-02-03 10:48 -------- d-----w- c:\programme\WindowsScan
2011-02-01 19:05 . 2011-02-01 19:05 396288 ----a-w- c:\programme\HijackThis.exe
2011-02-01 14:51 . 2011-02-01 14:51 296448 ----a-w- c:\programme\wtb7m5ml.exe
2011-01-22 19:56 . 2011-01-22 19:56 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\XMedia Recode
2011-01-22 16:24 . 2011-01-22 16:24 -------- d-----w- c:\dokumente und einstellungen\Günther\Lokale Einstellungen\Anwendungsdaten\Help
2011-01-22 16:05 . 2011-01-22 16:05 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\ElevatedDiagnostics
2011-01-13 08:14 . 2011-01-13 08:14 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-08-30 06:44 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-08-30 06:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 16:02 . 2010-08-30 06:28 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-30 14:15 . 2010-11-30 14:15 536064 ----a-w- c:\windows\system32\RegShellSM.exe
2010-11-30 14:15 . 2010-11-30 14:15 70144 ----a-w- c:\windows\system32\23415d4.exe
2010-11-22 11:45 . 2010-08-30 06:28 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2010-08-29 16:06 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-09-04 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-09-04 17:53 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-09 14:51 . 2001-08-18 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll
1997-11-03 14:24 . 2010-09-04 10:35 2321344 ----a-w- c:\programme\MMSKI.EXE
1997-09-26 13:11 . 2010-09-04 10:35 89224 ----a-w- c:\programme\WAVECONV.DLL
1995-11-15 13:10 . 2010-09-04 10:35 60928 ----a-w- c:\programme\MVIX14W.DLL
1995-11-15 13:09 . 2010-09-04 10:35 48736 ----a-w- c:\programme\MVMG14W.DLL
1995-11-15 13:08 . 2010-09-04 10:35 119616 ----a-w- c:\programme\MVCL14W.DLL
1995-11-15 13:08 . 2010-09-04 10:35 69072 ----a-w- c:\programme\MVMC14W.DLL
1995-11-15 13:07 . 2010-09-04 10:35 42336 ----a-w- c:\programme\MVTL14W.DLL
1995-11-15 13:07 . 2010-09-04 10:35 44976 ----a-w- c:\programme\MVSR14W.DLL
1995-11-15 13:06 . 2010-09-04 10:35 14544 ----a-w- c:\programme\MVBK14W.DLL
1995-11-15 13:02 . 2010-09-04 10:35 44512 ----a-w- c:\programme\MVFS14W.DLL
1995-11-15 13:01 . 2010-09-04 10:35 10016 ----a-w- c:\programme\MVUT14W.DLL
1995-01-12 22:15 . 2010-09-04 10:35 146976 ----a-w- c:\programme\MFCOLEUI.DLL
.
------- Sigcheck -------
[-] 2010-08-17 . 258DD5D4283FD9F9A7166BE9AE45CE73 . 58880 . . [5.1.2600.6024] . . c:\windows\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe
[-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\spoolsv.exe
[-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\dllcache\spoolsv.exe
[7] 2008-04-14 . 39356A9CDB6753A6D13A4072A9F5A4BB . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe
[7] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3gdr \usp10.dll
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll
[-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll
[-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll
[-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3qfe \usp10.dll
[7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\ServicePackFiles\i386\usp10.dll
[7] 2004-08-03 . E4E40EAFF464EBE7752BAD3D82AF1715 . 406528 . . [1.0420.2600.2180] . . c:\windows\$NtServicePackUninstall$\usp10.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk
backup=c:\windows\pss\ScanPanel.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [2010-11-02 339624]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-11-02 403624]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys [2001-06-07 18120]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S3 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\DRIVERS\WDMCAPI.sys [2001-05-24 610979]
S3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\DRIVERS\wdmwanmp.sys [2001-04-22 25817]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-05 21:26
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX .exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(1008)
c:\programme\Avira\AntiVir Desktop\avsda.dll
- - - - - - - > 'explorer.exe'(2188)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brsvc01a.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
c:\programme\Avira\AntiVir Desktop\checkt.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-05 21:41:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-05 20:41
ComboFix2.txt 2011-02-04 19:09
ComboFix3.txt 2011-02-03 14:21
Vor Suchlauf: 6 Verzeichnis(se), 68.995.579.904 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 68.903.002.112 Bytes frei
- - End Of File - - 50A697B5DDECC9EC12C732576A1FB0B5

Soll ich auch dieses Mal wieder Registry Search mit den von WhiteKnight angegebenen Eingaben laufen lassen und posten?

Gruß

Heinrich

markusg · 06.02.2011, 16:38

wenn du jetzt so freundlich bist und nen kompletten scan mit gmer machst? log posten.

01.02.2011, 17:51	#1 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	GMER Rootkit-Detector anwenden [GELÖST] Guten Abend, ich möchte hier um Hilfe bitten. Von der Telekom bekam ich ein Schreiben, dass von meinem Zugang schadhafter Code versendet würde. Das darf natürlich nicht sein, ich kann mir auch nicht so recht vorstellen, wie das sein kann. Ich bin aber auch nur Nutzer des Internet, ansonsten habe ich null Ahnung. Seit langem nutze ich Antivir Premium, Malwarebites und Spybot. Nach der Telekom Mitteilung habe ich die genannten Anwendungen suchen lassen. Es wurde nichts gefunden, und ich habe es der Telekom mitgeteilt. Mir wurde daraufhin ohne weitere Erklärung GMER empfohlen. Ich habe es geladen, werde aber nicht schlau daraus. Ich fand dann hier bei Paules-PC-Forum den Artikel über die GMER-Anwendung und habe ihn mir ausgedruckt. Dann habe ich den Quickscan laufen lassen und möchte das Logfile hier abdrucken. Wäre wohl jemand bereit, es sich anzusehen und mir weitere Hilfe zu geben? Ich bitte um weitere Nachricht und füge jetzt das Logfile ein: GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover Rootkit quick scan 2011-02-01 17:22:03 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST380020A rev.3.34 Running: wtb7m5ml.exe; Driver: C:\DOKUME~1\GNTHER~1\LOKALE~1\Temp\axryyfoc.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- Viele Grüße Heinrich

01.02.2011, 19:41	#2 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Wir können der Sache gerne auf den Grund gehen. Dafür brauchen wir ein paar mehr Reporte. Bitte einen Hijackthis Anleitung log posten dann die Phase II abarbeiten Anleitung zum Löschen von Viren / Thread erstellen Reporte posten __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

01.02.2011, 20:44	#4 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Bis jetzt ist alles unauffällig. Bitte nun Phase II abarbeiten und posten. __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

03.02.2011, 13:49	#6 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Ja das kann gut sein. Spybot fügt das dort ein. Kürze den Report einfach bis zu den ersten Webadressen __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

03.02.2011, 13:59	#7 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Hi, Die "Spybot-Adressen" habe ich jetzt nicht mit kopiert. deshalb nun hier der Beginn des Reports: Die 30 neuesten Dateien im Ordner Windows: *** * * * * * Scanning C:\WINDOWS * * * * * * 03.02.2011 WindowsUpdate.log 10 22:1.149.983 03.02.2011 0.log 10 07:0 03.02.2011 wiadebug.log 10 04:159 03.02.2011 wiaservc.log 10 04:50 03.02.2011 bootstat.dat 10 04:2.048 02.02.2011 SchedLgU.Txt 17 17:32.572 02.02.2011 setupapi.log 16 13:7.479 01.02.2011 BRWMARK.INI 14 31:468 30.01.2011 wmsetup.log 14 17:399 21.11.2010 win.ini 17 21:650 14.11.2010 Ausba3.INI 17 42:2.662 14.11.2010 Dusb3ar.ini 17 42:11.464 14.11.2010 ULEAD32.INI 17 41:603 11.11.2010 GAB.ANN 18 02:4 11.11.2010 euroglot.ini 18 02:104 11.11.2010 mmski.INI 18 01:31 07.11.2010 BadPixelInfo3.txt 19 14:1.503 07.11.2010 AErroru3.dat 19 14:400 07.11.2010 EWhiteu12.dat 19 14:30.720 07.11.2010 EDarku12.dat 19 14:30.720 07.11.2010 EOffsetu.dat 19 14:3 07.11.2010 EGain6.dat 19 14:3 07.11.2010 EExpou.dat 19 14:6 19.10.2010 Sti_Trace.log 15 10:0 26.09.2010 WMSysPr9.prx 10 44:316.640 21.09.2010 CMMIXER.INI 18 40:101 21.09.2010 mixerdef.ini 18 38:25 Die 50 neuesten Dateien im Ordner Windows\system32: * * * * * * Scanning C:\WINDOWS\system32 * * * * * * 29.01.2011 wpa.dbl 14 16:2.206 04.01.2011 MRT.exe 17 20:37.403.080 21.12.2010 jupdate-1.6.0_23-b05.log 11 02:3.755 16.12.2010 FNTCACHE.DAT 17 05:306.808 16.12.2010 TZLog.log 07 19:12.468 30.11.2010 RegShellSM.exe 15 15:536.064 30.11.2010 23415d4.exe 15 15:70.144 30.11.2010 autorun.inf 15 13:433 18.11.2010 isign32.dll 19 12:86.016 12.11.2010 javaws.exe 18 53:157.472 12.11.2010 javaw.exe 18 53:145.184 12.11.2010 java.exe 18 53:145.184 12.11.2010 deployJava1.dll 18 53:472.808 12.11.2010 javacpl.cpl 16 34:73.728 10.11.2010 jupdate-1.6.0_22-b04.log 10 59:4.055 09.11.2010 odbc32.dll 15 51:249.856 06.11.2010 wininet.dll 01 21:916.480 06.11.2010 urlmon.dll 01 21:1.210.880 06.11.2010 mstime.dll 01 21:611.840 06.11.2010 occache.dll 01 21:206.848 06.11.2010 mshtml.dll 01 21:5.959.168 06.11.2010 mshtmled.dll 01 21:66.560 06.11.2010 msfeedsbs.dll 01 21:55.296 06.11.2010 licmgr10.dll 01 21:43.520 06.11.2010 jsproxy.dll 01 21:25.600 06.11.2010 inetcpl.cpl 01 21:1.469.440 06.11.2010 msfeeds.dll 01 21:602.112 06.11.2010 iertutil.dll 01 21:1.991.680 06.11.2010 iepeers.dll 01 21:184.320 06.11.2010 ieframe.dll 01 21:11.080.704 06.11.2010 iedkcs32.dll 01 21:387.584 03.11.2010 tzchange.exe 14 12:46.080 03.11.2010 ie4uinit.exe 13 26:173.568 03.11.2010 html.iec 13 25:385.024 31.10.2010 perfh009.dat 13 24:472.438 31.10.2010 perfh007.dat 13 24:491.948 31.10.2010 perfc009.dat 13 24:75.532 31.10.2010 perfc007.dat 13 24:90.338 31.10.2010 PerfStringBackup.INI 13 24:1.146.474 28.10.2010 atmfd.dll 14 12:290.048 26.10.2010 win32k.sys 15 05:1.853.440 23.10.2010 Bildschirmreinigung.scr.xls 15 53:1.761.280 13.10.2010 fpres632.dll 16 40:405.504 13.10.2010 fpmon6.dll 08 59:397.312 26.09.2010 amcompat.tlb 10 46:16.832 26.09.2010 nscompat.tlb 10 46:23.392 18.09.2010 mfc42u.dll 11 22:974.848 * * * * * * Scanning C:\WINDOWS\system32\drivers\etc\hosts * * * * * *** # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com Ich mache jetzt weiter mit CCleaner und melde mich dann wieder. Gruß Heinrich Geändert von WhiteKnight (03.02.2011 um 19:39 Uhr)

01.02.2011, 20:26	#3 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Oh, das ging schnell! Hier erstmal das Hijackthis-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:12:06, on 01.02.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackThis.exe C:\Programme\Avira\AntiVir Desktop\update.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1283104051453 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1283104171437 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 4377 bytes Die anderen Aufgaben erledige ich anschließend. Gruß Heinrich

03.02.2011, 13:46	#5 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Hallo WhiteKnight, Leider muss ich, bevor es weitergehen kann, erstmal eine ahnungslose Frage stellen. Ich habe mehrmals versucht, den WindowsScan-Report unter "Direkt antworten" zu senden. Das kopieren hierher hat noch geklappt, aber beim Senden tut sich nichts, nach langer Zeit kommt eine Error-Meldung. Überwiegend zeigt der Report wohl WEB-Adressen, die Spybot bekämpft. Kann es sein, dass das Logfile zu groß ist, um es hier zu senden? Mit freundlichen Grüßen Heinrich

03.02.2011, 15:44	#8 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Hallo White Knight, ich habe nun Combofix laufen lassen. Obwohl ich AntiVir deaktiviert hatte, kam zwischendurch eine Meldung von AV, bei der ich dann sinngemäß "Combofix immer vertrauen" eingestellt habe. Dann verschwand die Meldung wieder. Im Sicherheitscenter war nach dem Scan AV immer noch deaktiviert, was ich jetzt wieder geändert habe. Hier nun Combofix.txt: ComboFix 11-01-31.02 - Günther 03.02.2011 14:53:03.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.255.128 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Günther\Desktop\ComboFix.exe AV: AntiVir Desktop Disabled/Updated {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Desktop\DriveCleaner.lnk c:\windows\system32\AutoRun.inf S:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2011-01-03 bis 2011-02-03 )))))))))))))))))))))))))))))) . 2011-02-01 20:48 . 2011-02-03 10:48 -------- d-----w- c:\programme\WindowsScan 2011-02-01 19:05 . 2011-02-01 19:05 396288 ----a-w- c:\programme\HijackThis.exe 2011-02-01 14:51 . 2011-02-01 14:51 296448 ----a-w- c:\programme\wtb7m5ml.exe 2011-01-22 19:56 . 2011-01-22 19:56 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\XMedia Recode 2011-01-22 16:24 . 2011-01-22 16:24 -------- d-----w- c:\dokumente und einstellungen\Günther\Lokale Einstellungen\Anwendungsdaten\Help 2011-01-22 16:05 . 2011-01-22 16:05 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\ElevatedDiagnostics 2011-01-13 08:14 . 2011-01-13 08:14 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-20 17:09 . 2010-08-30 06:44 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-08-30 06:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-20 16:02 . 2010-08-30 06:28 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-30 14:15 . 2010-11-30 14:15 536064 ----a-w- c:\windows\system32\RegShellSM.exe 2010-11-30 14:15 . 2010-11-30 14:15 70144 ----a-w- c:\windows\system32\23415d4.exe 2010-11-22 11:45 . 2010-08-30 06:28 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-18 18:12 . 2010-08-29 16:06 86016 ----a-w- c:\windows\system32\isign32.dll 2010-11-12 17:53 . 2010-09-04 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-11-12 15:34 . 2010-09-04 17:53 73728 ----a-w- c:\windows\system32\javacpl.cpl 2010-11-09 14:51 . 2001-08-18 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll 2010-11-06 00:21 . 2001-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-11-06 00:21 . 2001-08-18 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 2010-11-06 00:21 . 2001-08-18 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl 1997-11-03 14:24 . 2010-09-04 10:35 2321344 ----a-w- c:\programme\MMSKI.EXE 1997-09-26 13:11 . 2010-09-04 10:35 89224 ----a-w- c:\programme\WAVECONV.DLL 1995-11-15 13:10 . 2010-09-04 10:35 60928 ----a-w- c:\programme\MVIX14W.DLL 1995-11-15 13:09 . 2010-09-04 10:35 48736 ----a-w- c:\programme\MVMG14W.DLL 1995-11-15 13:08 . 2010-09-04 10:35 119616 ----a-w- c:\programme\MVCL14W.DLL 1995-11-15 13:08 . 2010-09-04 10:35 69072 ----a-w- c:\programme\MVMC14W.DLL 1995-11-15 13:07 . 2010-09-04 10:35 42336 ----a-w- c:\programme\MVTL14W.DLL 1995-11-15 13:07 . 2010-09-04 10:35 44976 ----a-w- c:\programme\MVSR14W.DLL 1995-11-15 13:06 . 2010-09-04 10:35 14544 ----a-w- c:\programme\MVBK14W.DLL 1995-11-15 13:02 . 2010-09-04 10:35 44512 ----a-w- c:\programme\MVFS14W.DLL 1995-11-15 13:01 . 2010-09-04 10:35 10016 ----a-w- c:\programme\MVUT14W.DLL 1995-01-12 22:15 . 2010-09-04 10:35 146976 ----a-w- c:\programme\MFCOLEUI.DLL . ------- Sigcheck ------- [-] 2010-08-17 . 258DD5D4283FD9F9A7166BE9AE45CE73 . 58880 . . [5.1.2600.6024] . . c:\windows\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe [-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\spoolsv.exe [-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\dllcache\spoolsv.exe [7] 2008-04-14 . 39356A9CDB6753A6D13A4072A9F5A4BB . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe [7] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3gdr \usp10.dll [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll [-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll [-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3qfe \usp10.dll [7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\ServicePackFiles\i386\usp10.dll [7] 2004-08-03 . E4E40EAFF464EBE7752BAD3D82AF1715 . 406528 . . [1.0420.2600.2180] . . c:\windows\$NtServicePackUninstall$\usp10.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . Hinweis leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk backup=c:\windows\pss\ScanPanel.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService] 2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=c:\windows\system32\ctfmon.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List] "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= R0 multa;multa;c:\windows\System32\drivers\juwjkvyk.sys [x] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys [2001-06-07 18120] R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] S2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [2010-11-02 339624] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336] S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-11-02 403624] S3 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\DRIVERS\WDMCAPI.sys [2001-05-24 610979] S3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\DRIVERS\wdmwanmp.sys [2001-04-22 25817] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{C424171E-592A-415A-9EB1-DFD6D95D3530} - (no file) ************************************************************************ catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-02-03 15:08 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... checkt.exe [2176] Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************ . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX .exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(832) c:\programme\Avira\AntiVir Desktop\avsda.dll . Zeit der Fertigstellung: 2011-02-03 15:21:30 ComboFix-quarantined-files.txt 2011-02-03 14:21 Vor Suchlauf: 6 Verzeichnis(se), 69.013.221.376 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 69.018.275.840 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn - - End Of File - - 212940AA1CF136C2C180EDB295A00AA7 Ich warte nun erstmal Deine Nachricht ab und bedanke mich für die Mühe. MfG Heinrich Geändert von WhiteKnight (03.02.2011 um 19:38 Uhr)

03.02.2011, 19:42	#9 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Offenbar ein gefährlicher Wurm Befall. Ich möchte das mir morgen noch genauer anschauen. Bitte nun keine Scans mehr machen. Möglichst wenig im Internet machen. Ich melde mich morgen. __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

04.02.2011, 10:12	#10 (Direktlink)
WhiteKnight Super-Moderator Registriert seit: 19.01.2005 Ort: Mainz Alter: 45 Beiträge: 7.077	Hallo Windows Taste + R drücken -tippe: notepad --> Ok drücken kopiere rein (ohne das Wort Code): Code: KILLALL:: File:: c:\programme\wtb7m5ml.exe c:\windows\system32\RegShellSM.exe c:\windows\System32\drivers\juwjkvyk.sys c:\windows\system32\23415d4.exe Driver:: juwjkvyk Speichere die Datei als cfscript.txt (all files/alle Dateien) auf dem Desktop cfscript.txt nun mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden wie bekannt (Antvirusprogramm vorher beenden!) poste den neuen log von Combofix Lade dir Registry Search auf dem Desktop speichern & entpacken, doppelklick auf RegSearch.exe Oben klicke auf search strings eingeben oder reinkopieren juwjkvyk dann klicke auf OK,am Ende Scan Report speichern & hier posten Wieder hole dann auch mit 23415d4 - Report posten __________________ Viele Grüße WhiteKnight >>SICHER SURFEN<<

04.02.2011, 20:23	#11 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Guten Abend, hier zunächst der neue log von Combofix: ComboFix 11-01-31.02 - Günther 04.02.2011 19:43:47.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.255.110 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Günther\Desktop\ComboFix.exe AV: AntiVir Desktop Disabled/Updated {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} . ((((((((((((((((((((((( Dateien erstellt von 2011-01-04 bis 2011-02-04 )))))))))))))))))))))))))))))) . 2011-02-01 20:48 . 2011-02-03 10:48 -------- d-----w- c:\programme\WindowsScan 2011-02-01 19:05 . 2011-02-01 19:05 396288 ----a-w- c:\programme\HijackThis.exe 2011-02-01 14:51 . 2011-02-01 14:51 296448 ----a-w- c:\programme\wtb7m5ml.exe 2011-01-22 19:56 . 2011-01-22 19:56 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\XMedia Recode 2011-01-22 16:24 . 2011-01-22 16:24 -------- d-----w- c:\dokumente und einstellungen\Günther\Lokale Einstellungen\Anwendungsdaten\Help 2011-01-22 16:05 . 2011-01-22 16:05 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\ElevatedDiagnostics 2011-01-13 08:14 . 2011-01-13 08:14 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-20 17:09 . 2010-08-30 06:44 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-08-30 06:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-20 16:02 . 2010-08-30 06:28 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-30 14:15 . 2010-11-30 14:15 536064 ----a-w- c:\windows\system32\RegShellSM.exe 2010-11-30 14:15 . 2010-11-30 14:15 70144 ----a-w- c:\windows\system32\23415d4.exe 2010-11-22 11:45 . 2010-08-30 06:28 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-18 18:12 . 2010-08-29 16:06 86016 ----a-w- c:\windows\system32\isign32.dll 2010-11-12 17:53 . 2010-09-04 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-11-12 15:34 . 2010-09-04 17:53 73728 ----a-w- c:\windows\system32\javacpl.cpl 2010-11-09 14:51 . 2001-08-18 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll 1997-11-03 14:24 . 2010-09-04 10:35 2321344 ----a-w- c:\programme\MMSKI.EXE 1997-09-26 13:11 . 2010-09-04 10:35 89224 ----a-w- c:\programme\WAVECONV.DLL 1995-11-15 13:10 . 2010-09-04 10:35 60928 ----a-w- c:\programme\MVIX14W.DLL 1995-11-15 13:09 . 2010-09-04 10:35 48736 ----a-w- c:\programme\MVMG14W.DLL 1995-11-15 13:08 . 2010-09-04 10:35 119616 ----a-w- c:\programme\MVCL14W.DLL 1995-11-15 13:08 . 2010-09-04 10:35 69072 ----a-w- c:\programme\MVMC14W.DLL 1995-11-15 13:07 . 2010-09-04 10:35 42336 ----a-w- c:\programme\MVTL14W.DLL 1995-11-15 13:07 . 2010-09-04 10:35 44976 ----a-w- c:\programme\MVSR14W.DLL 1995-11-15 13:06 . 2010-09-04 10:35 14544 ----a-w- c:\programme\MVBK14W.DLL 1995-11-15 13:02 . 2010-09-04 10:35 44512 ----a-w- c:\programme\MVFS14W.DLL 1995-11-15 13:01 . 2010-09-04 10:35 10016 ----a-w- c:\programme\MVUT14W.DLL 1995-01-12 22:15 . 2010-09-04 10:35 146976 ----a-w- c:\programme\MFCOLEUI.DLL . ------- Sigcheck ------- [-] 2010-08-17 . 258DD5D4283FD9F9A7166BE9AE45CE73 . 58880 . . [5.1.2600.6024] . . c:\windows\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe [-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\spoolsv.exe [-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\dllcache\spoolsv.exe [7] 2008-04-14 . 39356A9CDB6753A6D13A4072A9F5A4BB . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe [7] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3gdr \usp10.dll [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll [-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll [-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3qfe \usp10.dll [7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\ServicePackFiles\i386\usp10.dll [7] 2004-08-03 . E4E40EAFF464EBE7752BAD3D82AF1715 . 406528 . . [1.0420.2600.2180] . . c:\windows\$NtServicePackUninstall$\usp10.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . Hinweis leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk backup=c:\windows\pss\ScanPanel.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService] 2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=c:\windows\system32\ctfmon.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List] "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= R3 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\drivers\WDMCAPI.sys [24.05.2001 17:26 610979] R3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\drivers\wdmwanmp.sys [22.04.2001 15:41 25817] S0 multa;multa;c:\windows\system32\drivers\juwjkvyk.sys --> c:\windows\system32\drivers\juwjkvyk.sys [?] S2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\drivers\ArtecGT.sys [31.08.2010 09:35 18120] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [30.08.2010 07:44 38224] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll . ************************************************************************ catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-02-04 19:59 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************ . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX .exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(816) c:\programme\Avira\AntiVir Desktop\avsda.dll - - - - - - - > 'explorer.exe'(780) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2011-02-04 20:09:05 ComboFix-quarantined-files.txt 2011-02-04 19:08 ComboFix2.txt 2011-02-03 14:21 Vor Suchlauf: 6 Verzeichnis(se), 69.035.122.688 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 69.020.532.736 Bytes frei - - End Of File - - EEE3A9CCD2810F7E45876495658BE44A Als nächstes dann Registry Search. Gruß Heinrich

04.02.2011, 20:53	#12 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Hallo, hier der erste Scanreport: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 04.02.2011 20:33:22 for strings: ; 'juwjkvyk' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\multa] ; Contents of value: ; System32\drivers\juwjkvyk.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64, 00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6a,00,75,00,77,00,6a,00,6b,00,76,\ 00,79,00,6b,00,2e,00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\multa] ; Contents of value: ; System32\drivers\juwjkvyk.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64, 00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6a,00,75,00,77,00,6a,00,6b,00,76,\ 00,79,00,6b,00,2e,00,73,00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\multa] ; Contents of value: ; System32\drivers\juwjkvyk.sys "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64, 00,\ 72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6a,00,75,00,77,00,6a,00,6b,00,76,\ 00,79,00,6b,00,2e,00,73,00,79,00,73,00,00,00 ; End Of The Log... und hier der zweite: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 04.02.2011 20:40:08 for strings: ; '23415d4' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Grüße Heinrich

05.02.2011, 15:13	#13 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	ohne meinem kolegen vor greifen zu wollen, kannst du das combofix script noch mal probieren? start programme zubehör editor, kopiere: KILLALL:: Rootkit:: c:\programme\wtb7m5ml.exe c:\programme\MMSKI.EXE c:\programme\WAVECONV.DLL c:\windows\system32\RegShellSM.exe c:\windows\System32\drivers\juwjkvyk.sys c:\windows\system32\23415d4.exe c:\programme\MVIX14W.DLL c:\programme\MVMG14W.DLL c:\programme\MVCL14W.DLL c:\programme\MVMC14W.DLL c:\programme\MVTL14W.DLL c:\programme\MVSR14W.DLL c:\programme\MVBK14W.DLL c:\programme\MVFS14W.DLL c:\programme\MVUT14W.DLL c:\programme\MFCOLEUI.DLL Driver:: juwjkvyk Datei speichern unter, typ alle dateien, ort, dort wo sich combofix.exe befindet, name cfscript.txt ziehe cfscript auf combofix, programm startet log posten. es sieht so aus als hätte das erste script net geklappt. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

05.02.2011, 22:07	#14 (Direktlink)
Heinrich Pumpernicke Erfolgreich angemeldet Registriert seit: 28.01.2011 Ort: Norddeutschland Beiträge: 23	Guten Abend, ich habe nochmal Combofix nach den vorstehenden Anweisungen laufen lassen. Ich weiß es nicht mehr genau, aber es könnte sein, dass ich beim vorigen Mal cfscript.txt mit der linken Maustaste auf das Combofix-Symbol gezogen habe. Das war wohl falsch, denn in der Anleitung stand ja ausdrücklich "rechte Maustaste". Hier der neue log: ComboFix 11-01-31.02 - Günther 05.02.2011 21:04:45.3.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.255.114 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Günther\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Günther\Desktop\cfscript.txt AV: AntiVir Desktop Disabled/Updated {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_multa ((((((((((((((((((((((( Dateien erstellt von 2011-01-05 bis 2011-02-05 )))))))))))))))))))))))))))))) . 2011-02-01 20:48 . 2011-02-03 10:48 -------- d-----w- c:\programme\WindowsScan 2011-02-01 19:05 . 2011-02-01 19:05 396288 ----a-w- c:\programme\HijackThis.exe 2011-02-01 14:51 . 2011-02-01 14:51 296448 ----a-w- c:\programme\wtb7m5ml.exe 2011-01-22 19:56 . 2011-01-22 19:56 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\XMedia Recode 2011-01-22 16:24 . 2011-01-22 16:24 -------- d-----w- c:\dokumente und einstellungen\Günther\Lokale Einstellungen\Anwendungsdaten\Help 2011-01-22 16:05 . 2011-01-22 16:05 -------- d-----w- c:\dokumente und einstellungen\Günther\Anwendungsdaten\ElevatedDiagnostics 2011-01-13 08:14 . 2011-01-13 08:14 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-20 17:09 . 2010-08-30 06:44 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-08-30 06:44 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-20 16:02 . 2010-08-30 06:28 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-30 14:15 . 2010-11-30 14:15 536064 ----a-w- c:\windows\system32\RegShellSM.exe 2010-11-30 14:15 . 2010-11-30 14:15 70144 ----a-w- c:\windows\system32\23415d4.exe 2010-11-22 11:45 . 2010-08-30 06:28 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-18 18:12 . 2010-08-29 16:06 86016 ----a-w- c:\windows\system32\isign32.dll 2010-11-12 17:53 . 2010-09-04 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll 2010-11-12 15:34 . 2010-09-04 17:53 73728 ----a-w- c:\windows\system32\javacpl.cpl 2010-11-09 14:51 . 2001-08-18 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll 1997-11-03 14:24 . 2010-09-04 10:35 2321344 ----a-w- c:\programme\MMSKI.EXE 1997-09-26 13:11 . 2010-09-04 10:35 89224 ----a-w- c:\programme\WAVECONV.DLL 1995-11-15 13:10 . 2010-09-04 10:35 60928 ----a-w- c:\programme\MVIX14W.DLL 1995-11-15 13:09 . 2010-09-04 10:35 48736 ----a-w- c:\programme\MVMG14W.DLL 1995-11-15 13:08 . 2010-09-04 10:35 119616 ----a-w- c:\programme\MVCL14W.DLL 1995-11-15 13:08 . 2010-09-04 10:35 69072 ----a-w- c:\programme\MVMC14W.DLL 1995-11-15 13:07 . 2010-09-04 10:35 42336 ----a-w- c:\programme\MVTL14W.DLL 1995-11-15 13:07 . 2010-09-04 10:35 44976 ----a-w- c:\programme\MVSR14W.DLL 1995-11-15 13:06 . 2010-09-04 10:35 14544 ----a-w- c:\programme\MVBK14W.DLL 1995-11-15 13:02 . 2010-09-04 10:35 44512 ----a-w- c:\programme\MVFS14W.DLL 1995-11-15 13:01 . 2010-09-04 10:35 10016 ----a-w- c:\programme\MVUT14W.DLL 1995-01-12 22:15 . 2010-09-04 10:35 146976 ----a-w- c:\programme\MFCOLEUI.DLL . ------- Sigcheck ------- [-] 2010-08-17 . 258DD5D4283FD9F9A7166BE9AE45CE73 . 58880 . . [5.1.2600.6024] . . c:\windows\$hf_mig$\KB2347290\SP3QFE\spoolsv.exe [-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\spoolsv.exe [-] 2010-08-17 . 60784F891563FB1B767F70117FC2428F . 58880 . . [5.1.2600.6024] . . c:\windows\system32\dllcache\spoolsv.exe [7] 2008-04-14 . 39356A9CDB6753A6D13A4072A9F5A4BB . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe [7] 2004-08-03 . 54E7113A4BD696E430919BCAF5C65E06 . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3gdr \usp10.dll [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\usp10.dll [-] 2010-04-16 . 45954AFB7AE6E29B23C56B830C820A11 . 406016 . . [1.0420.2600.5969] . . c:\windows\system32\dllcache\usp10.dll [-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\$hf_mig$\KB981322\SP3QFE\usp10.dll [-] 2010-04-16 . EB2AD9C7DADE6C63F5F933881BA2A430 . 406016 . . [1.0420.2600.5969] . . c:\windows\SoftwareDistribution\Download\ebdf38d5a35cf16be4932e78ecd20cd7\sp3qfe \usp10.dll [7] 2008-04-14 . 052F968390A85D37D5EE8BE3AB2A83A2 . 406016 . . [1.0420.2600.5512] . . c:\windows\ServicePackFiles\i386\usp10.dll [7] 2004-08-03 . E4E40EAFF464EBE7752BAD3D82AF1715 . 406528 . . [1.0420.2600.2180] . . c:\windows\$NtServicePackUninstall$\usp10.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . Hinweis leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanPanel.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanPanel.lnk backup=c:\windows\pss\ScanPanel.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService] 2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=c:\windows\system32\ctfmon.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List] "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [2010-11-02 339624] R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-11-02 403624] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys [2001-06-07 18120] R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336] S3 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\DRIVERS\WDMCAPI.sys [2001-05-24 610979] S3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\DRIVERS\wdmwanmp.sys [2001-04-22 25817] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll . ************************************************************************ catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-02-05 21:26 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ********************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX .exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(1008) c:\programme\Avira\AntiVir Desktop\avsda.dll - - - - - - - > 'explorer.exe'(2188) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\brsvc01a.exe c:\windows\system32\brss01a.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\wscntfy.exe c:\programme\Avira\AntiVir Desktop\checkt.exe . ************************************************************************ . Zeit der Fertigstellung: 2011-02-05 21:41:54 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-02-05 20:41 ComboFix2.txt 2011-02-04 19:09 ComboFix3.txt 2011-02-03 14:21 Vor Suchlauf: 6 Verzeichnis(se), 68.995.579.904 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 68.903.002.112 Bytes frei - - End Of File - - 50A697B5DDECC9EC12C732576A1FB0B5 Soll ich auch dieses Mal wieder Registry Search mit den von WhiteKnight angegebenen Eingaben laufen lassen und posten? Gruß Heinrich

06.02.2011, 16:38	#15 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	wenn du jetzt so freundlich bist und nen kompletten scan mit gmer machst? log posten. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Device Detector	Roger55	Windows Vista	4	20.08.2011 19:06