Google Umleitung

john.doe · 26.07.2009, 12:24

Das sieht schon fast gut aus. Hast du im Security Center die Antivirenprogramm- und Firewallüberprüfung abgeschaltet?

ciao, andreas

Twibble · 26.07.2009, 22:12

So, wieder ist ComboFix gelaufen (siehe unten).
Der Eintrag war danach immer noch in der Registry. Allerdings konnte ich ihn via Regedit löschen (kaum setzt man die Rechte richtig, schon geht's - sorry für die Umstände

).

Firewall und Avira waren beim Lauf deaktiviert, wie im Log unten steht.
Siehst Du da sonst noch etwas Verdächtiges ?

Zitat:

ComboFix 09-07-23.02 - ****** 26.07.2009 21:55.3.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\******\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\******\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-06-26 bis 2009-07-26 ))))))))))))))))))))))))))))))
.

2009-07-21 20:22 . 2009-07-21 20:22 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-14 20:50 . 2009-07-17 21:23 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-11 19:39 . 2009-07-11 19:39 42280 ----a-w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-11 19:20 . 2009-07-12 16:32 -------- d-----w- c:\programme\Google
2009-07-11 13:33 . 2009-07-11 13:33 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-07-11 13:23 . 2009-07-11 13:23 0 --s-a-w- c:\windows\system\vhosts.exe
2009-07-07 23:47 . 2009-07-07 23:47 -------- d-----w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-07-07 20:17 . 2009-07-07 20:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-07-07 20:17 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
2009-07-07 20:14 . 2009-07-25 20:06 -------- d-----w- c:\windows\Internet Logs
2009-07-06 22:51 . 2004-08-03 22:58 507392 ----a-w- c:\windows\system32\winlogon.exe
2009-07-06 22:49 . 2009-07-06 22:51 -------- dc----w- c:\windows\system32\dllcache\backup
2009-07-06 17:07 . 2009-07-06 17:07 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Malwarebytes
2009-07-06 17:06 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-06 17:06 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-06 17:06 . 2009-07-06 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 16:52 . 2009-07-06 22:50 -------- d-----w- C:\aaa
2009-07-05 20:07 . 2009-07-05 20:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\16880004
2009-06-28 20:45 . 2003-06-25 14:05 266360 ----a-w- c:\windows\system32\TweakUI.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-26 20:03 . 2006-09-16 06:25 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Skype
2009-07-26 19:40 . 2008-10-16 09:26 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Audacity
2009-07-24 17:31 . 2007-03-16 00:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-24 17:28 . 2006-09-18 21:15 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Lavasoft
2009-07-24 17:27 . 2007-02-18 09:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-19 23:03 . 2006-10-03 06:37 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\ZoomBrowser EX
2009-07-19 23:03 . 2006-10-03 06:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-07-14 21:45 . 2006-10-06 20:55 -------- d-----w- c:\programme\WinTV
2009-07-07 22:59 . 2006-10-03 19:14 4438 ----a-w- c:\windows\mozver.dat
2009-07-04 21:10 . 2009-04-05 19:34 152576 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-14 11:04 . 2007-06-01 18:27 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Vso
2009-06-07 15:59 . 2007-03-16 00:30 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\VideoReDoPlus
2009-06-06 23:45 . 2009-02-21 14:44 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\gtk-2.0
2009-05-27 22:15 . 2009-05-01 18:12 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-07 20:50 . 2009-05-07 20:50 25748 ----a-w- c:\windows\Fonts\DIN1451 Mittelschrift.TTF
.

------- Sigcheck -------

[7] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2004-08-03 21:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\dllcache\TCPIP.SYS
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\drivers\TCPIP.SYS

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2005-11-04 90112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-08-11 86016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-10-24 90112]

c:\dokumente und einstellungen\******\Startmen\Programme\Autostart\
SAM.lnk - c:\online\Skype\SAM\SAM.exe [2006-12-27 1765376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
"MZCCntrl"=2 (0x2)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"RDSessMgr"=3 (0x3)
"IDriverT"=3 (0x3)
"MSIServer"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Music\\Clients\\µTorrent\\utorrent.exe"=
"c:\\online\\Skype\\Skype\\Skype.exe"=

R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 17280]
R3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\online\T-ONLI~2\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
R4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 61440]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-06-16 11970]
S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-06-16 207424]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\Drivers\hcw88rc5.sys [2006-06-16 11841]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-06-16 299843]
S3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-06-16 497216]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-06-16 23104]

.
Inhalt des "geplante Tasks" Ordners

2009-07-06 c:\windows\Tasks\Kompletter Virenscan.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\avscan.exe [2009-05-01 07:21]

2009-07-25 c:\windows\Tasks\Update Virenscanner.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\StartUpdate.exe [2009-05-15 17:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\o3mdvra6.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\online\Browser\Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-26 22:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Buhl Data Service\On4u2\TVc200\ExtData*]
"OfflineKey"="HWi0mFpsDvxjBF6HOdrS4B1TQLrjGN09XuraO0rdFlvyB7RVNPQfsZK42mrZDZYxpXzYXHV9culCL1cIRJyYvQHZYYqGffjLzOQRqrO6H5GSNJymdtYHgymAmD/3uToaKx6YC7eHwtJEaBTXj+tKsfy0DLpoUlXJaXD76KV+bA+zOYJSuDn0HuKA6eFL7gmpUEnBVBNdMqJoY9MIOZAIew==ywHSYCyZ+lT0HrOy4aR01GZWBCsZQavAQmWOnz6JVKWRSfG9O0SySR0Ev ZWkbCto3RwFJqlA5AumLyRaEVXNug=="
"InitTime"=dword:0000985b
"LastTime"=dword:0000985b
"Keyindex"=dword:00000000

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f7,66,8d,7e,25,5c,62,34,b6,cc,ce,59,44,bc,90,ae,5a,10,e5,36,54,98,74,
a0,90,1c,dd,94,13,30,11,cf,67,85,3f,63,e9,2f,a7,45,13,28,2e,41,95,45,51,86,\
"??"=hex:87,5a,ca,74,76,9e,0d,c0,92,88,d4,16,d2,42,79,f6

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:69,c4,bf,4b,4e,20,a8,80,a8,3c,16,66,ab,c7,27,d2,72,12,21,20,19,
7f,74,39,56,1b,c6,32,79,a1,b7,72,a9,7e,03,29,b5,b5,b9,7e,7a,05,28,12,88,ab,\
"rkeysecu"=hex:ae,12,92,fb,32,a5,b5,3f,a3,de,ab,b8,61,66,07,02
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3840)
c:\windows\system32\msi.dll
c:\windows\system32\shdoclc.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\online\Skype\Skype\Skype.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-26 22:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-26 20:06
ComboFix2.txt 2009-07-25 20:29
ComboFix3.txt 2009-07-23 21:56

Vor Suchlauf: 35 Verzeichnis(se), 32.566.296.576 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 32.549.298.176 Bytes frei

194

john.doe · 26.07.2009, 22:26

Teste ob Malwarebytes noch immer die Dateien findet. Ein Quickscan reicht. Wenn ich richtig liege, dürfte er die nicht mehr finden.

Zitat:

Siehst Du da sonst noch etwas Verdächtiges ?

Ja.

Die gehören da nicht hin:

Code:

ATTFilter

2009-07-11 13:33 . 2009-07-11 13:33 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-07-11 13:23 . 2009-07-11 13:23 0 --s-a-w- c:\windows\system\vhosts.exe

Das Antivirenprogramm wird nicht vom Security Center überwacht:

Code:

ATTFilter

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

Die Firewall ist aus:

Code:

ATTFilter

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

Neues Script:

Code:

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Rootkit::
c:\windows\system32\zllictbl.dat
c:\windows\system\vhosts.exe

File::
c:\windows\system32\zllictbl.dat
c:\windows\system\vhosts.exe

ciao, andreas

Twibble · 27.07.2009, 00:11

ComboFix hat gelöscht, was es sollte.
Malwarebytes bleibt hartnäckig und meldet die bekannten 3 Dateien.
Vielleicht sind das nur Dateifragmente und ich sollte mal chkdsk laufen lassen ...

Zitat:

ComboFix 09-07-23.02 - ****** 27.07.2009 0:09.4.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\******\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\******\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\windows\system\vhosts.exe"
"c:\windows\system32\zllictbl.dat"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\vhosts.exe
c:\windows\system32\zllictbl.dat

.
((((((((((((((((((((((( Dateien erstellt von 2009-06-26 bis 2009-07-26 ))))))))))))))))))))))))))))))
.

2009-07-21 20:22 . 2009-07-21 20:22 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-14 20:50 . 2009-07-17 21:23 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-11 19:39 . 2009-07-11 19:39 42280 ----a-w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-11 19:20 . 2009-07-12 16:32 -------- d-----w- c:\programme\Google
2009-07-07 23:47 . 2009-07-07 23:47 -------- d-----w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-07-07 20:17 . 2009-07-07 20:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-07-07 20:17 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
2009-07-07 20:14 . 2009-07-25 20:06 -------- d-----w- c:\windows\Internet Logs
2009-07-06 22:51 . 2004-08-03 22:58 507392 ----a-w- c:\windows\system32\winlogon.exe
2009-07-06 22:49 . 2009-07-06 22:51 -------- dc----w- c:\windows\system32\dllcache\backup
2009-07-06 17:07 . 2009-07-06 17:07 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Malwarebytes
2009-07-06 17:06 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-06 17:06 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-06 17:06 . 2009-07-06 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 16:52 . 2009-07-06 22:50 -------- d-----w- C:\aaa
2009-07-05 20:07 . 2009-07-05 20:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\16880004
2009-06-28 20:45 . 2003-06-25 14:05 266360 ----a-w- c:\windows\system32\TweakUI.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-26 22:16 . 2006-09-16 06:25 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Skype
2009-07-26 19:40 . 2008-10-16 09:26 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Audacity
2009-07-24 17:31 . 2007-03-16 00:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-24 17:28 . 2006-09-18 21:15 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Lavasoft
2009-07-24 17:27 . 2007-02-18 09:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-19 23:03 . 2006-10-03 06:37 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\ZoomBrowser EX
2009-07-19 23:03 . 2006-10-03 06:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-07-14 21:45 . 2006-10-06 20:55 -------- d-----w- c:\programme\WinTV
2009-07-07 22:59 . 2006-10-03 19:14 4438 ----a-w- c:\windows\mozver.dat
2009-07-04 21:10 . 2009-04-05 19:34 152576 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-14 11:04 . 2007-06-01 18:27 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Vso
2009-06-07 15:59 . 2007-03-16 00:30 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\VideoReDoPlus
2009-06-06 23:45 . 2009-02-21 14:44 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\gtk-2.0
2009-05-27 22:15 . 2009-05-01 18:12 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-07 20:50 . 2009-05-07 20:50 25748 ----a-w- c:\windows\Fonts\DIN1451 Mittelschrift.TTF
.

------- Sigcheck -------

[7] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2004-08-03 21:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\dllcache\TCPIP.SYS
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\drivers\TCPIP.SYS

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2005-11-04 90112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-08-11 86016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-10-24 90112]

c:\dokumente und einstellungen\******\Startmen\Programme\Autostart\
SAM.lnk - c:\online\Skype\SAM\SAM.exe [2006-12-27 1765376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
"MZCCntrl"=2 (0x2)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"RDSessMgr"=3 (0x3)
"IDriverT"=3 (0x3)
"MSIServer"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Music\\Clients\\µTorrent\\utorrent.exe"=
"c:\\online\\Skype\\Skype\\Skype.exe"=

R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 17280]
R3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\online\T-ONLI~2\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
R4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 61440]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-06-16 11970]
S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-06-16 207424]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\Drivers\hcw88rc5.sys [2006-06-16 11841]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-06-16 299843]
S3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-06-16 497216]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-06-16 23104]

.
Inhalt des "geplante Tasks" Ordners

2009-07-06 c:\windows\Tasks\Kompletter Virenscan.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\avscan.exe [2009-05-01 07:21]

2009-07-26 c:\windows\Tasks\Update Virenscanner.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\StartUpdate.exe [2009-05-15 17:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\o3mdvra6.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\online\Browser\Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-27 00:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Buhl Data Service\On4u2\TVc200\ExtData*]
"OfflineKey"="HWi0mFpsDvxjBF6HOdrS4B1TQLrjGN09XuraO0rdFlvyB7RVNPQfsZK42mrZDZYxpXzYXHV9culCL1cIRJyYvQHZYYqGffjLzOQRqrO6H5GSNJymdtYHgymAmD/3uToaKx6YC7eHwtJEaBTXj+tKsfy0DLpoUlXJaXD76KV+bA+zOYJSuDn0HuKA6eFL7gmpUEnBVBNdMqJoY9MIOZAIew==ywHSYCyZ+lT0HrOy4aR01GZWBCsZQavAQmWOnz6JVKWRSfG9O0SySR0Ev ZWkbCto3RwFJqlA5AumLyRaEVXNug=="
"InitTime"=dword:0000985b
"LastTime"=dword:0000985b
"Keyindex"=dword:00000000

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f7,66,8d,7e,25,5c,62,34,b6,cc,ce,59,44,bc,90,ae,5a,10,e5,36,54,98,74,
a0,90,1c,dd,94,13,30,11,cf,67,85,3f,63,e9,2f,a7,45,13,28,2e,41,95,45,51,86,\
"??"=hex:87,5a,ca,74,76,9e,0d,c0,92,88,d4,16,d2,42,79,f6

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:69,c4,bf,4b,4e,20,a8,80,a8,3c,16,66,ab,c7,27,d2,72,12,21,20,19,
7f,74,39,56,1b,c6,32,79,a1,b7,72,a9,7e,03,29,b5,b5,b9,7e,7a,05,28,12,88,ab,\
"rkeysecu"=hex:ae,12,92,fb,32,a5,b5,3f,a3,de,ab,b8,61,66,07,02
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3768)
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\owci10.dll
c:\windows\system32\MSCTF.dll
c:\windows\system32\msls31.dll
c:\windows\system32\shdoclc.dll
c:\windows\system32\msimtf.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\online\Skype\Skype\Skype.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-26 0:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-26 22:18
ComboFix2.txt 2009-07-26 20:06
ComboFix3.txt 2009-07-25 20:29
ComboFix4.txt 2009-07-23 21:56

Vor Suchlauf: 35 Verzeichnis(se), 32.478.113.792 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 32.458.252.288 Bytes frei

202

john.doe · 27.07.2009, 16:04

1.) Rootkitsuche mit SysProt

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

2.) Um sicher zu gehen (und einen Streit zu schlichten) lasse bitte dieses Script laufen. Log von ComboFix brauchst du nicht zu posten, aber das von Malwarebytes (Quickscan reicht).

Code:

ATTFilter

KILLALL::

Rootkit::
c:\WINDOWS\system32\hjgruingndmosp.dll
c:\WINDOWS\system32\hjgruinidpetct.dll
c:\windows\system32\UACthluqrjagstidbs.dll

3.) Start => Ausführen => combofix /u => OK

4.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

5.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Twibble · 27.07.2009, 21:35

So hier schon mal ein Zwischenbericht, während ich mit Kaspersky und PrevXCSI weitermache und ComboFix de-installiert ist.

Also Sysprot hat zunächst gemeckert:
"Failed to start service. SysProt AntiRootkit needs to be run with Admin privileges!",
obwohl mein Benutzer ****** vom Typ "Computeradministrator" ist, also volle Admin-Rechte hat.
Als Admin eingeloggt ist SysProt dann gelaufen, wollte aber zwischendurch
ständig, dass ich in Laufwerk A etwas einlege - Laufwerke A/B habe ich nicht.
Unten das Sysprot-Log. Laufwerke M und N sind noch zwei weitere eingebaute Festplatten nur mit Daten.

Ich hoffe jetzt, dass ComboFix & Co nicht generell "administrator" als Accountnamen voraussetzen.
Die weiteren Tests habe ich jedenfalls wieder mit dem Account ****** gemacht.

Zitat:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: B4F29000
Module End: B4F41000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: BAE20000
Module End: BAE22000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: N:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: N:\System Volume Information\tracking.log
Status: Access denied

Object: N:\System Volume Information\_restore{06B5A935-E81D-40FE-B300-5816CA763712}
Status: Access denied

Object: M:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: M:\System Volume Information\tracking.log
Status: Access denied

Object: M:\System Volume Information\_restore{06B5A935-E81D-40FE-B300-5816CA763712}
Status: Access denied

Object: C:\Dokumente und Einstellungen\Tim\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Status: Hidden

Object: C:\Dokumente und Einstellungen\Tim\Anwendungsdaten\SecuROM\UserData\???????????p?????????
Status: Hidden

Malwarebytes nach ComboFix mit Script das Übliche ...

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2

27.07.2009 22:07:42
mbam-log-2009-07-27 (22-07-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 88592
Laufzeit: 1 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.
c:\windows\system32\hjgruingndmosp.dll (Trojan.Agent) -> No action taken.
c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken.

john.doe · 27.07.2009, 21:49

Kontrolliere bitte die Quarantäne von Malwarebytes, ob dort überhaupt etwas ist.

ciao, andreas

Twibble · 28.07.2009, 21:35

so nun der zweite Teil:

Malwarebytes
In der Quarantäneliste steht schon einiges, z.B. uacinit.dll, UACKymxvhetjmwsyno.dll oder a99k.bin.

Kaspersy habe ich erstmal "Wichtige Objekte" und "Memory" testen lassen (siehe unten).
Den Komplett-Check lasse ich heute Nacht durchlaufen.

Zitat:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 28. Juli 2009 08:08:13
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 27/07/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2555621
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\******\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 12981
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:12:51

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Prevx3.0 bemängelt hlpzr.exe, (dem Datum nach gehört das zum MS Home Networking. Habe hlpzr.exe mal weggesperrt, aber ohne Einfluss auf den Scan von Malwarebytes),
combofix.exe (hatte ich nach dem Download nach C:\tmp kopiert) und avenger.exe, dazu noch diverse faxlib.dll (die ich nicht nutze, weil ich keine
ISDN Karte habe) :

Zitat:

Prevx Scan Log - Version v3.0.1.65
Log Generated: 28/7/2009 21:51, Type: 0,1
Windows XP Professional Service Pack 2 (Build 2600) 32bit|1031
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Mon 2009-07-27 23:44:23 Westeuropäische Sommerzeit. Number of Scans: 2. Last Scan Duration: 1 minute 15 seconds.
[B] c:\dokumente und einstellungen\******\desktop\combofix.exe [PX5: 49D8560664D8819712A930B05951B900C46EAB26] Malware Group: Medium Risk Malware
[BP] c:\util\_virus\avenger.exe [PX5: 1F900441003E5F8528820B13E7D59D00730AD83D] Malware Group: Medium Risk Malware
[BP] c:\windows\system32\hlpzr.exe [PX5: DD1A2B82006513B9D7CF007B988554007663E5B2] Malware Group: High Risk Cloaked Malware
[B] c:\windows\faxlib.dll [PX5: 41EFF98A10305C4366BB003B0EFD440055CBE9A8] Malware Group: Low Risk Adware
[B] c:\windows\faxres.dll [PX5: A4F7E96CC01C818A1A080062931A2700F33C506B] Malware Group: Low Risk Adware
[B] c:\tmp\combofix.exe [PX5: 49D8560664D8819712A930B05951B900C46EAB26] Malware Group: Medium Risk Malware
[B] c:\util\winfax\ins\faxlib.dll [PX5: 41EFF98A10305C4366BB003B0EFD440055CBE9A8] Malware Group: Low Risk Adware
[B] c:\util\adressen\winfax\faxlib.dll [PX5: 41EFF98A10305C4366BB003B0EFD440055CBE9A8] Malware Group: Low Risk Adware
[B] c:\util\adressen\winfax\ins\faxlib.dll [PX5: 41EFF98A10305C4366BB003B0EFD440055CBE9A8] Malware Group: Low Risk Adware

john.doe · 28.07.2009, 21:51

Zitat:

In der Quarantäneliste steht schon einiges, z.B. uacinit.dll, UACKymxvhetjmwsyno.dll oder a99k.bin.

Es geht nur um die Dateinamen, die Malwarebytes ständig meint gelöscht zu haben.

Code:

ATTFilter

c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.
c:\windows\system32\hjgruingndmosp.dll (Trojan.Agent) -> No action taken.
c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken.

Ist einer von den Dreien dort zu sehen?

Zitat:

Prevx3.0 bemängelt hlpzr.exe

Die Funde von Prevx darf man nicht ernstnehmen. Der einzige Grund, warum es überhaupt eingesetzt wird, ist, es hat eine gute Erkennung bei ganz neuen Schädlingen. Wenn es alte Dateien anquengelt, ist das fast immer eine Falschmeldung.

Avenger wird von fast allen als schädlich angesehen. Das liegt aber nicht an Avenger, sondern einem Schädling, der sich der Technik des Avenger bedient, um Systemdateien zu löschen. Interessant dabei ist, dass der Programmierer von Avenger und Malwarebytes eine Person ist und Malwarebytes munter lustig Avenger immer weglöscht.

Ich benutze eine umbenannte Version des Avengers (Hopsassa.exe) um die TDSS-Varianten auszutricksen. Hier mein Kommentar: http://www.trojaner-board.de/423128-post11.html

ciao, andreas

Twibble · 28.07.2009, 22:39

sorry, Missverständnis

Zitat:

Es geht nur um die Dateinamen, die Malwarebytes ständig meint gelöscht zu haben.

Nein, die sind nicht dabei.
Prevx ist wieder gelöscht.

ToDo:

Kaspersky Komplett-Check
chkdsk /f

john.doe · 28.07.2009, 22:43

Zitat:

chkdsk /f

Warum? Gibt es Probleme?

ciao, andreas

Twibble · 28.07.2009, 23:01

Zitat:

Warum? Gibt es Probleme?

Nicht direkt.
Ich hatte chkdsk vor zwei Tagen mal laufen lassen (ohne /f). In Phase 2 von 3
wurde dann die Meldung "Fehler in Index $0 der Datei weiss-ich-nicht-mehr"
angezeigt.
Vielleicht spricht Malwarebytes auf Dateifragmente an. Das wollte ich mit dem
Test ausschließen ...

john.doe · 28.07.2009, 23:04

Gute Idee.

ciao, andreas

Twibble · 29.07.2009, 22:32

Zwischenbericht Kaspersky. Auch nichts neues.
Nur zwei Meldungen in ungesehen gelöschten E-Mails. Ansonsten ziemlich viele gesperrte Objekte.
Wie schon geschrieben, Laufwerke M und N sind noch zwei weitere eingebaute Festplatten nur mit Daten.

Nächster Schritt:
chkdsk /f

Zitat:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 29. Juli 2009 05:47:35
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 28/07/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2318461
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
M:\
N:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 238217
Viren gefunden: 0
Infizierte Objekte gefunden: 2
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 04:35:17

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\LOGFILES\Upd-2009-07-29-00-15-14.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\call256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\callmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chat2048.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chat4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chat512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chatmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chatmsg1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chatmsg256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\chatmsg512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\contactgroup256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\index2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\profile16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\transfer256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\user1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\user16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\user4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Skype\******\voicemail256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\temp\Acr85.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\temp\Acr87.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\temp\KFWSMM.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009072920090730\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/25 Oct 2008 10:02 from Latonya Munson:Rechnung/Rechnung.zip/Rechnung.scr Infizierte Objekte: Trojan.Win32.Inject.jiq übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst/Persönliche Ordner/Gelöschte Objekte/25 Oct 2008 10:02 from Latonya Munson:Rechnung/Rechnung.zip Infizierte Objekte: Trojan.Win32.Inject.jiq übersprungen
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst MailMSMaill: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\******\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\******\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Twibble · 30.07.2009, 12:55

Hi Andreas,

ckhdsk ist gelaufen, hat auch ein paar Kleinigkeiten gefunden, aber das
hat auch nichts am Malwarebytes-Ergebnis geändert.
Ansonsten ist der Rechner seit einer Woche symptomfrei.
Ab morgen bin ich ersteinmal für 3 Wochen weg.

Hast Du noch eine Idee wie wir weitermachen können ?

Zitat:

Dateisystem auf C: wird überprüft.
Der Typ des Dateisystems ist NTFS.

Eine Datenträgerüberprüfung ist geplant.
Die Datenträgerüberprüfung wird jetzt ausgeführt.
Kleinere Inkonsistenzen auf dem Laufwerk werden aufgeräumt.
119 nicht verwendete Indexeinträge aus Index $SII der Datei 0x9 werden aufgeräumt.
119 nicht verwendete Indexeinträge aus Index $SDH der Datei 0x9 werden aufgeräumt.
119 nicht verwendete Sicherheitsbeschreibungen werden aufgeräumt.

244187968 KB Speicherplatz auf dem Datenträger insgesamt
212142352 KB in 173928 Dateien
90052 KB in 10412 Indizes
0 KB in fehlerhaften Sektoren
277580 KB vom System benutzt
65536 KB von der Protokolldatei belegt
31677984 KB auf dem Datenträger verfügbar

4096 Bytes in jeder Zuordnungseinheit
61046992 Zuordnungseinheiten auf dem Datenträger insgesamt
7919496 Zuordnungseinheiten auf dem Datenträger verfügbar

Interne Informationen:
50 1b 03 00 1e d0 02 00 00 ef 03 00 00 00 00 00 P...............
b4 c3 02 00 01 00 00 00 8f 02 00 00 00 00 00 00 ................
24 de 33 06 00 00 00 00 da 52 2a 34 01 00 00 00 $.3......R*4....
3e 9b 87 03 00 00 00 00 00 00 00 00 00 00 00 00 >...............
00 00 00 00 00 00 00 00 f0 9e 11 45 01 00 00 00 ...........E....
99 9e 36 00 00 00 00 00 28 3a 07 00 68 a7 02 00 ..6.....(:..h...
00 00 00 00 00 40 24 94 32 00 00 00 ac 28 00 00 .....@$.2....(..

Die Überprüfung des Datenträgers wurde abgeschlossen.
Bitte warten Sie bis der Computer neu gestartet wurde.

Google Umleitung

Plagegeister aller Art und deren Bekämpfung: Google Umleitung