Befall mit Antivirus XP 2008 und UPS-Virus

trojan-death · 08.09.2008, 21:59

Wie ich sehe konntest du noch nicht antworten... hier die weiteren Schritte (mache vorher aber die drei anderen Sachen fertig

):

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Bis morgen

Lass dann nochmals Malwarebytes scanne (Log wieder posten) und poste ein frische HJT

08.09.2008, 22:07

Hallo Trojan-Death,

das Logfile von smitfraudfix kann ich Dir schicken. Ich habe so lange benötigt, weil ich für dss.exe im Netz unterwegs war. Alle Wege führen zu einem Eintrag, den ich jetzt sehr frei übersetzt habe:

"Deckard's System Scanner reagiert mit einem bestimmten rootkit (tdssserv) in einer Weise, die vielleicht Ihr System unbrauchbar macht, und ändert den svchost netsvcs Registry Eintrag. Dieser Download ist entfernt worden, bis eine Lösung von Deckard frei gegeben wird. Zu Ihrem eigenen Schutz, versuchen Sie nicht bitte, dieses Tool von anderen Seiten zu laden.
08/17/2008
Ihr Geeks Go admin-Team"

Kann ich mit GMER weitermachen?

LG
Ulla

Code:

ATTFilter

SmitFraudFix v2.342

Scan done at 22:29:18,04, 08.09.2008
Run from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\Antivirus XP 2008.lnk FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

trojan-death · 08.09.2008, 22:10

Jep

Weitermachen

08.09.2008, 22:59

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-08 23:39:16
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

?               C:\WINDOWS\system32\drivers\Uad72.sys                                                                                Zugriff verweigert
PAGENDSP        NDIS.sys!NdisMWanSendComplete + 3D2                                                                                  F765F63F 7 Bytes  JMP 847EA040 
PAGENDSP        NDIS.sys!NdisMWanSendComplete + FDD                                                                                  F766024A 7 Bytes  JMP 8498B460 
?               C:\WINDOWS\System32\drivers\tcpsr.sys                                                                                Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

?               C:\WINDOWS\System32\svchost.exe[1004]                                                                                image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: DNSAPI.dllunknown module: gdiplus.dll
?               C:\WINDOWS\System32\svchost.exe[1024]                                                                                image checksum mismatch; time/date stamp mismatch; 

---- User IAT/EAT - GMER 1.0.14 ----

IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              [77DA6BF0] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     [77DA7883] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              [77DA761B] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    [77DAEBE7] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    [77DCC534] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  [77DCD11B] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           [77DA7753] C:\WINDOWS\system32\ADVAPI32.dll (Erweitertes Windows 32 Base-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               [76EF6BFB] C:\WINDOWS\System32\DNSAPI.dll (DNS Client API DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              [76EF4FA2] C:\WINDOWS\System32\DNSAPI.dll (DNS Client API DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   [76EE5B6B] C:\WINDOWS\System32\DNSAPI.dll (DNS Client API DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 [77EFD73B] C:\WINDOWS\system32\GDI32.dll (GDI Client DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           [7C80A859] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW]                      [7C80176B] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree]                     [7C814C63] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             [7C826B99] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]              [7C810DA6] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                [7C810F9F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                [7C802367] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                  [7C81E079] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                   [7C809AA2] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                      [7C863C00] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     [7C920331] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     [7C8394AE] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess]                   [7C812C8D] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]               [7C8114AB] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     [7C80B78D] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                [7C80946C] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                  [7C81CAA2] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   [7C80CCA9] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   [7C802442] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    [7C81CACB] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  [7C838403] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       [7C809737] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount]                  [7C809B77] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            [7C81082F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           [7C80EB3F] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       [7C80EC1B] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess]              [7C81EE79] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      [7C809A39] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc]                    [7C809EB3] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                      [7C80B929] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          [7C8092AC] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            [7C9205D4] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                      [7C9279FD] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey]                        [7C92043D] C:\WINDOWS\system32\ntdll.dll (DLL für NT-Layer/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat]                           [7C809F29] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy]                           [7C802530] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  [7C8024A7] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          [7C810D34] C:\WINDOWS\system32\kernel32.dll (Client-DLL für Windows NT-Basis-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                 [7CA1FE44] C:\WINDOWS\system32\SHELL32.dll (Allgemeine Windows-Shell-DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               [77F4819F] C:\WINDOWS\system32\SHLWAPI.dll (Shell Light-weight Utility Library/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose]                          [77F5AACC] C:\WINDOWS\system32\SHLWAPI.dll (Shell Light-weight Utility Library/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          [77F57848] C:\WINDOWS\system32\SHLWAPI.dll (Shell Light-weight Utility Library/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           [77D3EED5] C:\WINDOWS\system32\USER32.dll (Client-DLL für Windows XP USER-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce]                        [77D18697] C:\WINDOWS\system32\USER32.dll (Client-DLL für Windows XP USER-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 [77D1A2DE] C:\WINDOWS\system32\USER32.dll (Client-DLL für Windows XP USER-API/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen]                           00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      [771976B8] C:\WINDOWS\system32\WININET.dll (Interneterweiterungen für Win32/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid]                       [771944DB] C:\WINDOWS\system32\WININET.dll (Interneterweiterungen für Win32/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         [77198C6A] C:\WINDOWS\system32\WININET.dll (Interneterweiterungen für Win32/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         [771961DC] C:\WINDOWS\system32\WININET.dll (Interneterweiterungen für Win32/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       [77194AC5] C:\WINDOWS\system32\WININET.dll (Interneterweiterungen für Win32/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           [77199555] C:\WINDOWS\system32\WININET.dll (Interneterweiterungen für Win32/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                 00000000
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          [71A1428A] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             [71A1615A] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             [71A13B91] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1004] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      [71A19639] C:\WINDOWS\System32\WS2_32.dll (Windows Socket 2.0 32-Bit DLL/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              53EC8B55
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     60665756
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              8B08758B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    5D8B0C7D
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    6A00EB10
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  744A5A14
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           434EADFA
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              04B9C80F
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               C1000000
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              3F2406C0
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   05723E3C
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   2C02E0C0
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 3C042C0E
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   04087D30
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           F33DB0D1
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW]                      AAC032AA
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree]                     5E5F6166
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             53C35D5B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread]              08245C8B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress]                24748B56
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                04685710
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW]                  630146C6
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary]                   700246C6
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW]                      730346C6
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     720446C6
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     000546C6
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess]                   202815FF
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW]               3D8B0900
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     [09002024] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap]                00209468
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode]                  D7FF5309
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   D7FF5356
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   00208C68
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    D7FF5309
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  C35B5E5F
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       51EC8B55
IAT             C:\WINDOWS\System32\svchost.exe[1024] @

08.09.2008, 23:03

Code:

ATTFilter

C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount]                  68575653
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            000F003F
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           5656F633
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       200015FF
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess]              FFBF0900
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      57000F01
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc]                    890C75FF
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW]                      FF50FC45
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          00200415
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            562175DE
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap]                      56565656
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey]                        560875FF
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat]                           016A036A
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy]                           75FF5657
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  FC75FF0C
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          200815FF
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             D88B0900
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid]                 1174DE3B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             FF535656
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               00200C15
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose]                          74C08509
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          EBFF3304
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     2C15FF14
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           8B090020
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce]                        20EF81F8
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 F7000004
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen]                           23FF1BDF
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      74DE3BF8
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid]                       15FF5307
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         5E5FC78B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         55C3C95B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       EC81EC8B
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           0000020C
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen]                 33575653
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          15FF56F6
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             [09002050] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             0020B468
IAT             C:\WINDOWS\System32\svchost.exe[1024] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      6AF88B09

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               853CF9C0

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               InCDrec.SYS (InCD File System Recognizer/Nero AG)

Device          \FileSystem\Mup \Dfs                                                                                                 853CF9C0
Device          \FileSystem\InCDfs \InCDFsDisk                                                                                       853CF9C0
Device          \FileSystem\RAW \Device\RawTape                                                                                      853CF9C0
Device          \FileSystem\MRxDAV \Device\WebDavRedirector                                                                          853CF9C0
Device          \FileSystem\InCDfs \Device\InCDfsComm                                                                                853CF9C0
Device          \FileSystem\Mup \Device\Mup                                                                                          853CF9C0
Device          \FileSystem\RAW \Device\RawDisk                                                                                      853CF9C0
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    853CF9C0
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          853CF9C0
Device          \FileSystem\RAW \Device\RawCdRom                                                                                     853CF9C0
Device          \Driver\Uad72 \Device\Prot3                                                                                          853CEFA0
Device          \FileSystem\Mup \Device\WinDfs\Root                                                                                  853CF9C0
Device          \FileSystem\InCDfs \GLOBAL??\BsUDF                                                                                   853CF9C0
Device          \FileSystem\Cdfs \Cdfs                                                                                               853CF9C0

---- Threads - GMER 1.0.14 ----

Thread          4:108                                                                                                                853CFBF0

---- EOF - GMER 1.0.14 ----

Hallo Trojan-Death,

hoffentlich ist das jetzt gut gegangen. Ich musste die Datei teilen, da sie zu groß war.

GMER ist durch und ich habe mir den Leitfaden für ComboFix durchgelesen. Ich habe eine Windows-CD mit Windows XP Professional (Volllizenz - keine Recovery CD) und sollte von dort erst einmal die Wiederherstellungskonsole laden? Ist das richtig?

Nach meinem neuen Leitsatz "Gehe langsam, wenn Du es eilig hast" möchte ich das gern morgen durchführen, dann die anderen Programme.

Ich mach Dir so viel Arbeit. Du opferst Deine Freizeit, um mir zu helfen. Haben die Hilfesuchenden in diesem Forum die Möglichkeit, sich bei Ihren Helfern in irgendeiner Form zu revanchieren?

Liebe Grüße an Dich

Ulla

09.09.2008, 16:51

Hallo Trojan-Death,

ich habe alles abgearbeitet und bin den Anleitungen auch sorgfältig gefolgt.

Um es vorweg zu nehmen: Ich habe den PC jetzt neu hochgefahren, weil mein AntiVir-Schirmchen nicht auftauchte, und da war als erstes wieder das Fenster: Warning, Spyware detected on your computer ... und Spybot meldete sich mit:

Spybot S&D hat festgestellt, dass ein wichtiger Registrierungsdatenbankeintrag geändert wurde.
Kategorie: System Startup global entry
Änderung: Wert hinzugefügt
Eintrag: inrhclsgj0eg4c
Neue Daten: C:\WINDOWS\Temp\.ttC.tmp.exe/CR=E08AC8...
Klick auf: Verweigern

(Warum sagt mir mein Bauchgefühl nur immer, dass ich bei Spybot etwas falsch mache?)

Doch nun der Reihe nach:

Heute morgen war mein Desktop das erste Mal weiß. Ich habe mit MAM im Normalmodus gescannt, danach war der Bildschirm blau, ich bin ins Internet und habe mir alle Programmme und Anleitungen geholt, gespeichert, ausgedruckt. - Jede halbe Stunde meldete sich Anti Vir mit einem Malware-Eintrag, der in die Quarantäne kam.

Ab 12:00 Uhr konnte ich erst beginnen:

- Die Quarantäne-Dateien bei Anti Vir habe ich gelöscht.
- Anti Vir habe ich deaktiviert (Schirmchen zu), bei
- Spybot habe ich den Tea-Timer geschlossen und im erweiterten Modus die Häckchen bei "Resident" und "Systemstart" entfernt
- die Wiederherstellungskonsole war auf dem Desktop

1. C Cleaner - Scan. Hier wolltest Du kein Protokoll haben?

2. ComboF ix (hat einen Neustart durchgeführt und mit Autostart waren Antivir und Spybot wieder aktiv. Um sicher zu gehen, habe ich noch einmal deaktiviert und Combo Fix ein zweites Mal durchlaufen lassen. Ich schicke Dir das zweite Protokoll.

3. Black light - Scan
4. So phos - Scan
5. Malware Bytes - Scan (abgesicherter Modus)
6. HJT -Scan

Danke, dass Du Dir die Mühe machst, das anzusehen. Es ist viel Arbeit.

Hoffentlich habe ich keine Fehler gemacht.

Liebe Grüße

Ulla

2. Combo Fix

Code:

ATTFilter

ComboFix 08-09-05.10 - Administrator 2008-09-09 14:27:37.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.118 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TCPSR


(((((((((((((((((((((((   Dateien erstellt von 2008-08-09 bis 2008-09-09  ))))))))))))))))))))))))))))))
.

2008-09-09 14:31 . 2008-09-09 14:31	625,208	--a------	C:\WINDOWS\system32\phcgsgj0eg4c.bmp
2008-09-09 14:31 . 2008-09-09 14:31	203,776	--a------	C:\WINDOWS\system32\lphcgsgj0eg4c.exe
2008-09-09 14:31 . 2008-09-09 14:31	118,784	--a------	C:\WINDOWS\system32\blphcgsgj0eg4c.scr
2008-09-09 13:58 . 2008-09-09 13:58	<DIR>	d--------	C:\Programme\CCleaner
2008-09-08 23:26 . 2008-09-08 23:26	250	--a------	C:\WINDOWS\gmer.ini
2008-09-08 22:19 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-09-08 22:19 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-09-08 22:19 . 2008-08-26 20:19	88,576	--a------	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-08 22:19 . 2008-08-27 15:17	87,040	--a------	C:\WINDOWS\system32\VACFix.exe
2008-09-08 22:19 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-09-08 22:19 . 2008-08-28 22:36	82,432	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-09-08 22:19 . 2008-08-18 12:19	82,432	--a------	C:\WINDOWS\system32\404Fix.exe
2008-09-08 22:19 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-09-08 22:19 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-09-08 22:19 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-09-03 12:34 . 2008-09-09 12:39	21,504	--a------	C:\WINDOWS\system32\suzkaco32.dll
2008-09-02 10:56 . 2008-09-02 10:59	106,496	--a------	C:\WINDOWS\system32\29.tmp
2008-09-02 10:56 . 2008-09-02 10:56	106,496	--a------	C:\WINDOWS\system32\1C.tmp
2008-09-02 10:56 . 2008-09-02 10:56	106,496	--a------	C:\WINDOWS\system32\1B.tmp
2008-09-02 10:02 . 2008-09-03 09:17	771	--a------	C:\WINDOWS\wininit.ini
2008-09-02 08:20 . 2008-09-09 14:30	21,504	--a------	C:\WINDOWS\system32\suzkaco.dll
2008-09-01 08:20 . 2008-09-01 08:20	106,496	--a------	C:\WINDOWS\system32\39.tmp
2008-08-29 20:08 . 2008-09-08 22:29	4,160	--a------	C:\WINDOWS\system32\tmp.reg
2008-08-29 17:00 . 2008-08-29 17:00	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-27 19:24 . 2008-08-27 19:24	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-27 19:24 . 2008-08-27 19:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-27 19:24 . 2008-08-27 19:24	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-27 19:24 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-27 19:24 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-26 11:24 . 2008-08-18 18:41	1,832,272	--a------	C:\Programme\JYODQVBJZ.scr
2008-08-26 11:21 . 2008-09-02 08:31	<DIR>	d--------	C:\Programme\Updates
2008-08-26 11:21 . 2008-08-26 11:21	<DIR>	d--------	C:\Programme\Plugins
2008-08-26 11:21 . 2008-09-02 08:31	<DIR>	d--------	C:\Programme\Includes
2008-08-26 11:21 . 2008-07-07 09:42	4,891,472	-rahs----	C:\Programme\SpybotSD.exe
2008-08-26 11:21 . 2008-07-07 09:42	4,891,472	-rahs----	C:\Programme\AFBCGZ.scr
2008-08-26 11:21 . 2008-08-18 18:41	1,832,272	--a------	C:\Programme\JXDVSOXVDTXIH.scr
2008-08-26 11:21 . 2008-07-07 09:41	1,562,448	--a------	C:\Programme\SDHelper.dll
2008-08-26 11:21 . 2008-07-07 09:36	1,430,016	--a------	C:\Programme\SDFiles.exe
2008-08-26 11:21 . 2008-07-07 09:42	1,429,840	-rahs----	C:\Programme\SDUpdate.exe
2008-08-26 11:21 . 2008-07-07 09:42	1,429,840	-rahs----	C:\Programme\LVIWMSFA.scr
2008-08-26 11:21 . 2008-07-07 09:37	958,976	--a------	C:\Programme\SDShred.exe
2008-08-26 11:21 . 2008-07-07 09:42	835,920	--a------	C:\Programme\Tools.dll
2008-08-26 11:21 . 2008-07-07 09:42	809,296	--a------	C:\Programme\SDWinSec.exe
2008-08-26 11:21 . 2008-08-26 11:19	696,200	--a------	C:\Programme\unins000.exe
2008-08-26 11:21 . 2008-07-07 09:41	428,880	--a------	C:\Programme\blindman.exe
2008-08-26 11:21 . 2008-07-07 09:42	414,544	--a------	C:\Programme\SDMain.exe
2008-08-26 11:21 . 2008-06-19 18:35	333,288	--a------	C:\Programme\sqlite3.dll
2008-08-26 11:21 . 2008-06-14 11:24	255,392	--a------	C:\Programme\DelZip179.dll
2008-08-26 11:21 . 2007-04-02 20:22	34,472	--a------	C:\Programme\aports.dll
2008-08-26 11:21 . 2008-08-26 11:21	21,449	--a------	C:\Programme\unins000.dat
2008-08-15 09:43 . 2008-08-15 09:43	0	--a------	C:\WINDOWS\hpqEmlSz.INI

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 12:30	32,256	----a-w	C:\WINDOWS\system32\drivers\Uad72.sys
2008-09-09 12:01	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-26 09:23	---------	d-----w	C:\Programme\Languages
2008-08-26 09:23	---------	d-----w	C:\Programme\Help
2008-08-26 09:21	13,182	----a-w	C:\Programme\unins000.msg
2008-08-26 09:21	---------	d-----w	C:\Programme\Skins
2008-08-26 09:21	---------	d-----w	C:\Programme\Dummies
2008-08-18 16:41	1,832,272	------w	C:\Programme\TeaTimer.exe
2008-07-22 13:31	---------	d-----w	C:\Programme\Lavasoft
2008-07-22 13:30	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-14 13:18	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-14 11:04	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-07 07:41	939,344	----a-w	C:\Programme\advcheck.dll
2008-07-06 10:31	17,408	----a-w	C:\psapi.dll
2008-05-23 14:15	4,486	----a-w	C:\Programme\Urlaubsplaner.xml
2008-05-14 10:08	58	----a-w	C:\Programme\Urlaubsplaner.url
2008-01-30 08:56	70,512	----a-w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-23 11:40	49,450	----a-w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2007-04-02 18:22	25,726	----a-w	C:\Programme\messages.zres
2007-04-02 18:22	2,683	----a-w	C:\Programme\OptOut.ini
2007-04-02 18:22	2,128	----a-w	C:\Programme\Default configuration.ini
2006-04-19 07:25	84,418	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2005-09-27 07:30	278	----a-w	C:\Dokumente und Einstellungen\USER2\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((((   snapshot@2008-09-09_14.19.22.98   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-09 12:31:24	1,613,529	----a-w	C:\WINDOWS\Temp\.ttC.tmp.exe
+ 2008-09-09 12:31:35	69,632	----a-w	C:\WINDOWS\Temp\nsu10.tmp\euladlg.dll
+ 2008-09-09 12:31:26	53,248	----a-w	C:\WINDOWS\Temp\nsu10.tmp\MachineKey.dll
+ 2008-09-09 12:31:32	8,192	----a-w	C:\WINDOWS\Temp\nsu10.tmp\md5dll.dll
+ 2008-09-09 12:31:26	3,072	----a-w	C:\WINDOWS\Temp\nsu10.tmp\Mutex.dll
+ 2008-09-09 12:31:34	53,248	----a-w	C:\WINDOWS\Temp\nsu10.tmp\rc4hex.dll
+ 2008-09-09 12:31:28	10,240	----a-w	C:\WINDOWS\Temp\nsu10.tmp\System.dll
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C543F87B-D228-466C-8432-A6F7D1C44565}]
2008-07-09 12:46	935216	--a------	C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF8E1F96-FF80-4E85-AD4F-0F19166E21DB}]
2008-07-09 12:46	935216	--a------	C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="C:\Programme\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 28672]
"avgnt"="C:\Programme\AntiVir fuer KEN!\avgnt.exe" [2007-05-03 327720]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-25 185896]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl04e\BrStDvPt.exe" [2004-05-25 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 851968]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"FineReader7NewsReaderPro"="C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-02 278528]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"KEN Taskbar Client"="C:\Programme\KEN!\kentbcli.exe" [2005-03-07 167936]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"inrhclsgj0eg4c"="C:\WINDOWS\Temp\.ttC.tmp.exe" [2008-09-09 1613529]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2003-10-31 11:01 8704 C:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\suzkaco]
2008-09-09 14:30 21504 C:\WINDOWS\system32\suzkaco.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll schannel.dll digest.dll msnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uad72.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\192.168.22.1\\d\\Programme\\New-Vision-Soft\\Calender3\\Calender.exe"=
"C:\\Programme\\KEN!\\kentbcli.exe"=
"C:\\Programme\\New-Vision-Soft\\Calender3\\Calender.exe"=
"C:\\Programme\\Symantec\\pcAnywhere\\WinAw32.exe"=
"C:\\Programme\\Symantec\\pcAnywhere\\awhost32.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\Sage\\GSBuchhalter\\Gsbuchhalter.exe"=

R0 Uad72;Uad72;C:\WINDOWS\system32\Drivers\Uad72.sys [2008-09-09 32256]
R1 SSHDRV63;SSHDRV63;C:\WINDOWS\system32\drivers\SSHDRV63.sys [2007-07-11 108544]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 59520]
R2 KEN Client Service;AVM KEN Klient;C:\Programme\KEN!\KENCLI.EXE [2005-03-07 143360]
R2 SageDB 5.0;SageDB 5.0;C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe [2007-05-18 5685248]
R3 FUS2BASE;FRITZ!Card USB;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2005-11-29 578432]
R3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers\tcpsr.sys [ ]
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2005-11-29 53632]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 10368]
S3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2007-05-07 537600]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12

*Newly Created Service* - TCPSR
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R1 -: HKCU-Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 14:32:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\suzkaco.dll

Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\suzkaco.dll
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\BIN\ibguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Temp\xjn7.tmp
C:\PROGRA~1\Borland\INTERB~1\BIN\ibserver.exe
C:\WINDOWS\Temp\.ttC.tmp
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-09 14:37:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-09 12:37:23
ComboFix2.txt  2008-09-09 12:19:58

Pre-Run: 13 Verzeichnis(se), 72,351,473,664 Bytes frei
Post-Run: 16 Verzeichnis(se), 72,312,295,424 Bytes frei

233

09.09.2008, 17:00

3. Blacklight - Scan

Code:

ATTFilter

09/09/08 15:05:08 [Info]: BlackLight Engine 1.0.70 initialized
09/09/08 15:05:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/09/08 15:05:08 [Note]: 7019 4
09/09/08 15:05:08 [Note]: 7005 0
09/09/08 15:05:10 [Note]: 7006 0
09/09/08 15:05:10 [Note]: 7011 5360
09/09/08 15:05:10 [Note]: 7035 0
09/09/08 15:05:10 [Note]: 7026 0
09/09/08 15:05:10 [Note]: 7026 0
09/09/08 15:05:14 [Note]: FSRAW library version 1.7.1024
09/09/08 15:10:07 [Note]: 2000 1012
09/09/08 15:33:54 [Note]: 7007 0

4. Sophos-Scan

Code:

ATTFilter

Sophos Anti-Rootkit Version 1.3.1 (data 1.08)  (c) 2006 Sophos Plc
Started logging on 09.09.2008 at 15:38:59
Stopped logging on 09.09.2008 at 15:41:54

5. MAM - Scan

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

16:30:20 09.09.2008
mbam-log-09-09-2008 (16-30-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 75442
Laufzeit: 41 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully

6. HJT

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:09, on 09.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\TEMP\xcp7.tmp
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TeaTimer.exe
C:\WINDOWS\Temp\.ttC.tmp
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTB03004 - {C543F87B-D228-466C-8432-A6F7D1C44565} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O2 - BHO: RAToolbar - {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04e\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.22.220:3128/ken.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209107514531
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
O20 - Winlogon Notify: suzkaco - C:\WINDOWS\SYSTEM32\suzkaco32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8394 bytes

09.09.2008, 17:17

Hallo Trojan-Death,

ich muss für zwei Stunden weg und kann erst gegen 20:00 Uhr wieder vorbei schauen.

Vielleicht treffen wir uns?

Wenn Du keine Zeit hast, wäre es nett, wenn Du mir kurz Bescheid gibst. Ich stelle mich darauf ein.

Liebe Grüße

Ulla

trojan-death · 09.09.2008, 19:53

Junge, junge, junge...
Was hast du da mit deinem Rechner angestellt...
Nun müssen wir eben manuell löschen... Das wird mühsam und kann ne Weile dauern bis wir alles erwisch haben

Ich kann dir nur immer wieder zum Neuaufsetzen raten...

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

files to delete:
C:\WINDOWS\SYSTEM32\suzkaco32.dll
C:\WINDOWS\TEMP\xcp7.tmp
C:\WINDOWS\Temp\.ttC.tmp
C:\WINDOWS\system32\phcgsgj0eg4c.bmp
C:\WINDOWS\system32\lphcgsgj0eg4c.exe
C:\WINDOWS\system32\blphcgsgj0eg4c.scr
C:\WINDOWS\system32\29.tmp
C:\WINDOWS\system32\1C.tmp
C:\WINDOWS\system32\1B.tmp
C:\WINDOWS\system32\39.tmp
C:\WINDOWS\system32\tmp.reg
C:\Programme\JYODQVBJZ.scr
C:\Programme\AFBCGZ.scr
C:\Programme\JXDVSOXVDTXIH.scr
C:\WINDOWS\Temp\xjn7.tmp
C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir
C:\WINDOWS\System32\drivers\tcpsr.sys

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\Process.exe
C:\WINDOWS\system32\dumphive.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\hpqEmlSz.INI
C:\WINDOWS\system32\drivers\Uad72.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Silent sharK · 09.09.2008, 19:55

Das u.A.

Zitat:

C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\404Fix.exe

gehört zu SmitfraudFix.

trojan-death · 09.09.2008, 20:00

Zitat:

Zitat von Dark Viruz

Das u.A.
gehört zu SmitfraudFix.

Dankeschön

Bitte

mich dafür, dass ich Vollidiot das nicht gepeilt hab

Silent sharK · 09.09.2008, 20:00

No Prob.

:

Kann jedem passieren.

09.09.2008, 20:36

Hallo Trojan-Death,

vielen Dank für Deine Nachricht. Darf ich Dich fragen, wie lange Du heute online sein wirst? Ich müsste jetzt zu meinem PC fahren und es wird etwas dauern, bis ich soweit bin, Dir die Ergebnisse zu schicken.

Ich meine nur, wenn ich mitten drin stecke und eine Rückfrage habe, bist Du dann noch da? Ich habe so etwas noch nie gemacht.

Liebe Grüße

Ulla - reichlich unerfahren

trojan-death · 09.09.2008, 20:42

Bei diesen zwei Schritten (The Avenger und VirusTotal) sollte nicht wirklich Probleme auftreten... Folge einfach genau der Anleitung und ich antworte morgen wieder... Muss noch für die Berufsschule lernen und werde nicht mehr lange hier sein

Berichte aber unbedingt wieder was mit deinem Rechner so passiert (ist). Weisser Desktop, blauer Desktop, Bluescreen, Virenmeldungen usw.

grüsse trojan-death

09.09.2008, 20:55

Hallo Trojan-Death,

also ich würd' dann gern morgen früh weitermachen und dann gleich beginnen, wenn ich den PC hochfahre.

Ich hatte heute einen 12-Stunden-Tag und bekomme zu Haus bald die "Rote Karte", wenn ich noch einmal losfahre.

Ich freue mich, wenn Du mir morgen Abend weiterhelfen kannst.

Bis dahin

Ulla

09.09.2008, 17:17	#38
Ulla Gast	Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich muss für zwei Stunden weg und kann erst gegen 20:00 Uhr wieder vorbei schauen. Vielleicht treffen wir uns? Wenn Du keine Zeit hast, wäre es nett, wenn Du mir kurz Bescheid gibst. Ich stelle mich darauf ein. Liebe Grüße Ulla

09.09.2008, 20:55	#45
Ulla Gast	Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, also ich würd' dann gern morgen früh weitermachen und dann gleich beginnen, wenn ich den PC hochfahre. Ich hatte heute einen 12-Stunden-Tag und bekomme zu Haus bald die "Rote Karte", wenn ich noch einmal losfahre. Ich freue mich, wenn Du mir morgen Abend weiterhelfen kannst. Bis dahin Ulla

Befall mit Antivirus XP 2008 und UPS-Virus

Plagegeister aller Art und deren Bekämpfung: Befall mit Antivirus XP 2008 und UPS-Virus