Vermute Virus im MSN Messenger!

freeman8080 · 19.10.2008, 12:25

Hi,hab dummerweise eine unzip.exe geöffnet die mir nun zum verhängnis geworden ist,immer wenn ich in msn drinnen bin werden an alle kontakte texte geschrieben wo drinnen steht:

Hi, ich habe letztens ein paar Superheisse Urlaubsphotos von mir
machen können. Die Bräute da waren einfach der Hammer!
Wenn du es dir mal anschauen möchteste kannst du diese unter
Folgendem Link Downloaden:
[BEISPIELLINK]h**p://rs232.rapidshare.com/files/118877839/Meine_neuen_Urlaubspics.zip[/BEISPIELLINK]
Es war halt wirklich der beste Urlaub meines Lebens

So hab auch mal son ein Hijack This File gemacht:

Code:

ATTFilter

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\freeman\LOCALS~1\Temp\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\****\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\system32\winupd.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O4 - HKLM\..\Policies\Explorer\Run: [Sidebar] C:\DOCUME~1\freeman\LOCALS~1\Temp\sidebar.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

myrtille · 19.10.2008, 12:53

Hi,

welches Betriebssystem nutzt du?

Ändere bitte von einem anderen Rechner aus, deine Passwörter und gehe mit dem infizierten Rechner nur zum Downloaden der benötigten Tools ins Internet.

Lass bitte folgende Datei bei virustotal auswerten:

Zitat:

C:\DOCUME~1\freeman\LOCALS~1\Temp\sidebar.exe

lg myrtille

freeman8080 · 19.10.2008, 13:30

also bei der auswertung erhalte ich:

Datei sidebar.exe empfangen 2008.10.19 14:28:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

dadrunter kommen dann aufzählungen von Programmen und bei ergebnis steht nie etwas.

und weiter gehts damit:

Code:

ATTFilter

File size: 19968 bytes
MD5...: 88811ea83035278370bc103cb7d931b8
SHA1..: ba4102236d9037b8e63f85ef8681bac805ca66fb
SHA256: 77e3d49c5ccdd70effb898b66bce63569a52dff231d35b25f231529d91976c5b
SHA512: b0afdefef5cf3188be212098a8475790e14d48f829d78dec75f3f57f79bc8c2b
15e2fe969a74b0553ef6501bb45e94c4c5c6619fa9044f830f1bc9b3b783f635
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4021e0
timedatestamp.....: 0x48d7e488 (Mon Sep 22 18:31:36 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x170a 0x1800 6.02 c07cde0b89b6d1d2c618baaefaf388d4
.rdata 0x3000 0x7d0 0x800 5.12 c4050d9145addf6f2a4145b1d1801f9c
.data 0x4000 0x2afc 0x2600 6.96 85fbd8692f838d755329c30958f6718d
.rsrc 0x7000 0x3f8 0x400 5.31 d2e7322eadf6f5dcd85483034faccc32

( 3 imports )
> KERNEL32.dll: lstrcatA, GetTempPathA, GetModuleHandleA, GetModuleFileNameA, LoadLibraryA, HeapFree, FreeLibrary, FindResourceA, LoadResource, lstrlenA, GetProcAddress, lstrcpyA, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, GetSystemTimeAsFileTime
> ADVAPI32.dll: RegSetValueExA, RegOpenKeyExA, RegCloseKey, RegCreateKeyExA
> MSVCR80.dll: _initterm_e, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _crt_debugger_hook, _terminate@@YAXXZ, _unlock, __dllonexit, _lock, _onexit, _decode_pointer, _except_handler4_common, _invoke_watson, _controlfp_s, _initterm, _acmdln, exit, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, _amsg_exit, free, realloc, memset, memcpy, _configthreadlocale, _stricmp

( 0 exports )

myrtille · 19.10.2008, 13:37

Kennst du die Datei denn? Weißt du was sie tut?

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

freeman8080 · 19.10.2008, 13:50

Hab die Sidebar.exe gelöscht und auch die anderen dateien die hinzugefügt wurden nachdem ich die exe ausgeführt hab und bis jetzt hab ich keine probleme gehabt hab auch antivir drüber laufen lassen und auch mcafee virusscan und es wurde nichts gefunden msn spielt auch nicht mehr verrückt.

myrtille · 19.10.2008, 13:52

Hi,

dein Problem lag nicht in der Sidebar.exe, das ist nur eine Datei, deren Funktion mir unbekannt ist.

Du hast definitiv noch Malware aufm Rechner.

lg myrtille

freeman8080 · 19.10.2008, 14:22

gibts denn ein gutes kostenloses tool das malware sucht und gleichzeitig löschst? oder mir immerhin sagt welche dateien malware sind?

myrtille · 19.10.2008, 14:28

Wie wärs wenn du meine Combofix anleitung abarbeitest und das Log hier postest, dann würden wir das sichelrich entfernt bekommen.

lg myrtille

freeman8080 · 19.10.2008, 14:31

Ok aber ich kann das tool nur eingeschränkt nutzen da die lizens abgelaufen ist.

myrtille · 19.10.2008, 14:35

Hast du die Datei gerade frisch heruntergeladen? Welches Datum ist auf deinem Rechner eingestellt?

lg myrtille

freeman8080 · 19.10.2008, 14:47

hat nun endlich doch geklappt hie das File:

Code:

ATTFilter

ComboFix 08-10-18.03 - freeman 2008-10-19  0:19:18.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.1139 [GMT 2:00]
ausgeführt von:: C:\Documents and Settings\freeman\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\winupd.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-18 bis 2008-10-18  ))))))))))))))))))))))))))))))
.

2008-11-01 09:24 . 2008-04-14 01:15	59,136	--a------	C:\WINDOWS\system32\drivers\GcKernel.sys
2008-11-01 09:24 . 2008-04-14 01:15	59,136	--a--c---	C:\WINDOWS\system32\dllcache\gckernel.sys
2008-11-01 09:24 . 2001-08-17 23:36	10,240	--a------	C:\WINDOWS\system32\SWPIDFLT.DLL
2008-11-01 09:24 . 2001-08-17 23:36	10,240	--a--c---	C:\WINDOWS\system32\dllcache\swpidflt.dll
2008-11-01 09:24 . 2001-08-17 15:02	2,688	--a------	C:\WINDOWS\system32\drivers\HIDSwvd.sys
2008-11-01 09:24 . 2001-08-17 15:02	2,688	--a--c---	C:\WINDOWS\system32\dllcache\hidswvd.sys
2008-11-01 08:45 . 2008-11-01 08:45	<DIR>	d--------	C:\Program Files\SimBin
2008-11-01 05:03 . 2008-10-19 00:19	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-11-01 04:54 . 2008-11-01 04:54	2,467	--a------	C:\ads_err.dbf
2008-11-01 03:19 . 2008-11-01 03:19	244	--ah-----	C:\sqmnoopt01.sqm
2008-11-01 03:19 . 2008-11-01 03:19	232	--ah-----	C:\sqmdata01.sqm
2008-11-01 02:26 . 2008-11-01 02:26	<DIR>	d--------	C:\Program Files\Messenger Plus! Live
2008-11-01 02:18 . 2008-08-14 12:11	2,189,184	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-11-01 02:18 . 2008-08-14 12:09	2,145,280	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-11-01 02:18 . 2008-08-14 11:33	2,066,048	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-11-01 02:18 . 2008-08-14 11:33	2,023,936	-----c---	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-11-01 02:16 . 2008-11-01 02:16	268	--ah-----	C:\sqmdata11.sqm
2008-11-01 02:16 . 2008-11-01 02:16	244	--ah-----	C:\sqmnoopt11.sqm
2008-11-01 02:16 . 2008-11-01 02:16	172	--ah-----	C:\sqmnoopt12.sqm
2008-11-01 02:16 . 2008-11-01 02:16	172	--ah-----	C:\sqmdata12.sqm
2008-11-01 01:42 . 2008-11-01 07:24	<DIR>	d--------	C:\Program Files\DAEMON Tools Lite
2008-11-01 01:41 . 2008-11-01 01:41	172	--ah-----	C:\sqmnoopt10.sqm
2008-11-01 01:41 . 2008-11-01 01:41	172	--ah-----	C:\sqmdata10.sqm
2008-11-01 01:40 . 2008-11-01 01:40	268	--ah-----	C:\sqmdata09.sqm
2008-11-01 01:40 . 2008-11-01 01:40	244	--ah-----	C:\sqmnoopt09.sqm
2008-11-01 01:33 . 2008-11-01 01:33	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\DAEMON Tools
2008-11-01 01:33 . 2008-11-01 01:33	717,296	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2008-11-01 01:17 . 2008-11-01 01:17	21,840	--a------	C:\WINDOWS\system32\SIntfNT.dll
2008-11-01 01:17 . 2008-11-01 01:17	17,212	--a------	C:\WINDOWS\system32\SIntf32.dll
2008-11-01 01:17 . 2008-11-01 01:17	12,067	--a------	C:\WINDOWS\system32\SIntf16.dll
2008-11-01 01:15 . 2008-11-01 01:15	204	--a------	C:\WINDOWS\SIERRA.INI
2008-11-01 01:13 . 2008-11-01 01:13	<DIR>	d--------	C:\Program Files\Windows Media Connect 2
2008-11-01 01:10 . 2008-11-01 01:12	<DIR>	d--------	C:\WINDOWS\system32\drivers\UMDF
2008-11-01 00:40 . 2008-11-01 00:40	244	--ah-----	C:\sqmnoopt07.sqm
2008-11-01 00:40 . 2008-11-01 00:40	232	--ah-----	C:\sqmdata07.sqm
2008-11-01 00:40 . 2008-11-01 00:40	172	--ah-----	C:\sqmnoopt08.sqm
2008-11-01 00:40 . 2008-11-01 00:40	148	--ah-----	C:\sqmdata08.sqm
2008-11-01 00:36 . 2008-11-01 00:36	172	--ah-----	C:\sqmnoopt06.sqm
2008-11-01 00:36 . 2008-11-01 00:36	172	--ah-----	C:\sqmdata06.sqm
2008-11-01 00:34 . 2008-06-10 03:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-11-01 00:34 . 2008-11-01 00:34	268	--ah-----	C:\sqmdata05.sqm
2008-11-01 00:34 . 2008-11-01 00:34	244	--ah-----	C:\sqmnoopt05.sqm
2008-11-01 00:33 . 2008-11-01 00:34	<DIR>	d--------	C:\Program Files\Java
2008-11-01 00:33 . 2008-11-01 00:33	<DIR>	d--------	C:\Program Files\Common Files\Java
2008-11-01 00:27 . 2008-11-01 00:27	63,548	--a------	C:\WINDOWS\BricoPackUninst.cmd
2008-11-01 00:26 . 2008-11-01 00:26	3,932,214	--a------	C:\WINDOWS\BricoPack Wallpaper.bmp
2008-11-01 00:25 . 2008-11-01 00:25	<DIR>	d--------	C:\WINDOWS\BricoPacks
2008-11-01 00:25 . 2008-11-01 00:27	6,118	--a------	C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-11-01 00:22 . 2008-11-01 00:22	268	--ah-----	C:\sqmdata00.sqm
2008-11-01 00:22 . 2008-11-01 00:22	244	--ah-----	C:\sqmnoopt00.sqm
2008-10-10 12:49 . 2008-10-10 12:49	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Leadertech
2008-10-09 22:53 . 2008-06-13 13:05	272,128	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-10-09 22:53 . 2008-06-13 13:05	272,128	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-09 22:52 . 2008-04-14 05:42	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-10-09 22:22 . 2008-10-09 22:22	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Canneverbe_Limited
2008-10-09 22:21 . 2008-10-09 22:21	<DIR>	d--------	C:\Program Files\CDBurnerXP
2008-10-09 21:40 . 2008-10-09 21:40	<DIR>	d--------	C:\WINDOWS\PES 2008 Reality Edition
2008-10-09 21:07 . 2008-10-09 21:09	<DIR>	d--------	C:\Program Files\Winamp
2008-10-09 21:07 . 2008-10-09 21:11	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Winamp
2008-10-09 20:02 . 2008-10-09 20:02	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Sierra Entertainment
2008-10-09 20:01 . 2008-10-09 20:01	<DIR>	d--------	C:\WINDOWS\85EBB28365AF4C539EBE7C0A232762F7.TMP
2008-10-09 19:52 . 2008-10-09 19:52	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\InstallShield
2008-10-09 19:07 . 2008-11-01 02:17	<DIR>	d--------	C:\Program Files\media Verlagsgesellschaft mbH
2008-10-09 18:43 . 2008-10-09 18:43	<DIR>	d--------	C:\Program Files\GameSpy
2008-10-09 18:42 . 2008-10-09 18:42	<DIR>	d--------	C:\WINDOWS\system32\URTTEMP
2008-10-09 18:26 . 2008-10-09 18:26	22,328	--a------	C:\Documents and Settings\freeman\Application Data\PnkBstrK.sys
2008-10-09 18:25 . 2008-11-01 01:10	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-10-09 18:03 . 2008-10-09 18:03	<DIR>	d--------	C:\Program Files\Electronic Arts
2008-10-09 15:19 . 2008-10-09 15:19	<DIR>	dr-h-----	C:\Documents and Settings\freeman\Application Data\SecuROM
2008-10-09 15:19 . 2008-10-09 15:19	107,888	--a------	C:\WINDOWS\system32\CmdLineExt.dll
2008-10-09 15:01 . 2008-10-09 22:23	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\DivX
2008-10-09 15:00 . 2008-10-09 15:01	<DIR>	d--------	C:\Program Files\DivX
2008-10-09 14:34 . 2008-10-09 14:34	<DIR>	d--h-----	C:\WINDOWS\PIF
2008-10-09 14:31 . 2008-10-09 14:31	<DIR>	d--------	C:\WINDOWS\system32\AGEIA
2008-10-09 14:31 . 2008-10-09 20:00	<DIR>	d--------	C:\Program Files\Common Files\Wise Installation Wizard
2008-10-09 14:31 . 2008-10-09 14:31	<DIR>	d--------	C:\Program Files\AGEIA Technologies
2008-10-01 04:28 . 2008-10-01 04:28	268	--ah-----	C:\sqmdata02.sqm
2008-10-01 04:28 . 2008-10-01 04:28	244	--ah-----	C:\sqmnoopt02.sqm
2008-10-01 04:13 . 2008-10-01 04:13	<DIR>	d--------	C:\Program Files\K-Lite Codec Pack
2008-10-01 04:13 . 2008-07-04 08:34	860,160	--a------	C:\WINDOWS\system32\lameACM.acm
2008-10-01 04:13 . 2008-01-10 14:15	755,027	--a------	C:\WINDOWS\system32\xvidcore.dll
2008-10-01 04:13 . 2004-01-25 18:18	217,088	--a------	C:\WINDOWS\system32\yv12vfw.dll
2008-10-01 04:13 . 2007-09-04 18:56	164,352	--a------	C:\WINDOWS\system32\unrar.dll
2008-10-01 04:13 . 2008-01-10 14:16	159,839	--a------	C:\WINDOWS\system32\xvidvfw.dll
2008-10-01 04:13 . 2007-09-21 02:52	118,784	--a------	C:\WINDOWS\system32\ac3acm.acm
2008-10-01 04:13 . 2008-06-12 20:36	7,680	--a------	C:\WINDOWS\system32\ff_vfw.dll
2008-10-01 04:13 . 2007-07-10 18:10	547	--a------	C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-10-01 04:13 . 2007-10-03 17:03	414	--a------	C:\WINDOWS\system32\lame_acm.xml
2008-10-01 04:13 . 2008-07-30 21:09	38	--a------	C:\WINDOWS\avisplitter.ini
2008-10-01 04:00 . 2008-11-01 01:05	825	--a------	C:\WINDOWS\system\CmiCnfg.ini

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-01 00:21	---------	d-----w	C:\Program Files\Windows Live
2008-11-01 00:16	---------	d-----w	C:\Documents and Settings\All Users\Application Data\McAfee
2008-11-01 00:11	---------	d-----w	C:\Program Files\Common Files\BitDefender
2008-10-31 22:44	---------	d-----w	C:\Program Files\Realtek AC97
2008-10-31 22:27	218,624	----a-w	C:\WINDOWS\system32\uxtheme.dll
2008-10-01 01:49	---------	d-----w	C:\Documents and Settings\freeman\Application Data\ATI
2008-10-01 01:49	---------	d-----w	C:\Documents and Settings\All Users\Application Data\ATI
2008-10-01 01:47	---------	d-----w	C:\Program Files\Common Files\InstallShield
2008-10-01 01:47	---------	d-----w	C:\Program Files\ATI Technologies
2008-10-01 01:40	---------	d-----w	C:\Program Files\Reference Assemblies
2008-10-01 01:40	---------	d-----w	C:\Program Files\MSBuild
2008-10-01 01:17	---------	d-----w	C:\Program Files\microsoft frontpage
2008-10-01 00:59	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-10-01 00:59	---------	d-----w	C:\Program Files\C-Media 3D Audio
2008-10-01 00:46	---------	d-----w	C:\Program Files\BitDefender
2008-09-24 08:40	4,122,368	----a-r	C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-09-16 00:14	9,464	------w	C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-16 00:14	9,336	------w	C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-16 00:14	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-09-16 00:14	43,528	------w	C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-09-16 00:14	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-09-16 00:14	129,784	------w	C:\WINDOWS\system32\pxafs.dll
2008-09-16 00:14	120,056	------w	C:\WINDOWS\system32\pxcpyi64.exe
2008-09-16 00:14	118,520	------w	C:\WINDOWS\system32\pxinsi64.exe
2008-09-16 00:12	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-09-16 00:12	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-09-16 00:12	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-09-16 00:12	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-09-16 00:12	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-09-16 00:12	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-09-16 00:12	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-09-16 00:12	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-09-16 00:12	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-09-16 00:12	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-09-16 00:11	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-09-16 00:11	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-09-16 00:11	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-09-16 00:11	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-09-16 00:11	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-09-16 00:11	161,096	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-09-15 12:12	1,846,400	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-21 04:52	3,299,840	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-08-21 02:19	425,984	----a-w	C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-21 02:18	314,880	----a-w	C:\WINDOWS\system32\ati2dvag.dll
2008-08-21 02:08	184,320	----a-w	C:\WINDOWS\system32\atipdlxx.dll
2008-08-21 02:08	143,360	----a-w	C:\WINDOWS\system32\Oemdspif.dll
2008-08-21 02:07	43,520	----a-w	C:\WINDOWS\system32\ati2edxx.dll
2008-08-21 02:07	26,112	----a-w	C:\WINDOWS\system32\Ati2mdxx.exe
2008-08-21 02:07	143,360	----a-w	C:\WINDOWS\system32\ati2evxx.dll
2008-08-21 02:05	573,440	----a-w	C:\WINDOWS\system32\ati2evxx.exe
2008-08-21 02:04	53,248	----a-w	C:\WINDOWS\system32\ATIDDC.DLL
2008-08-21 02:01	10,084,352	----a-w	C:\WINDOWS\system32\atioglxx.dll
2008-08-21 01:55	4,094,560	----a-w	C:\WINDOWS\system32\ati3duag.dll
2008-08-21 01:50	307,200	----a-w	C:\WINDOWS\system32\atiiiexx.dll
2008-08-21 01:38	2,377,856	----a-w	C:\WINDOWS\system32\ativvaxx.dll
2008-08-21 01:23	48,640	----a-w	C:\WINDOWS\system32\amdpcom32.dll
2008-08-21 01:19	380,928	----a-w	C:\WINDOWS\system32\atikvmag.dll
2008-08-21 01:18	37,376	----a-w	C:\WINDOWS\system32\atiadlxx.dll
2008-08-21 01:18	17,408	----a-w	C:\WINDOWS\system32\atitvo32.dll
2008-08-21 01:17	53,248	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll
2008-08-21 01:17	253,952	----a-w	C:\WINDOWS\system32\atiok3x2.dll
2008-08-21 01:11	561,152	----a-w	C:\WINDOWS\system32\ati2cqag.dll
2008-08-20 19:05	593,920	------w	C:\WINDOWS\system32\ati2sgag.exe
2008-08-20 05:30	666,112	----a-w	C:\WINDOWS\system32\SET3B.tmp
2008-08-20 05:30	619,520	----a-w	C:\WINDOWS\system32\SET3C.tmp
2008-08-20 05:30	3,067,904	----a-w	C:\WINDOWS\system32\SET3E.tmp
2008-08-20 05:30	1,499,136	----a-w	C:\WINDOWS\system32\SET3D.tmp
2008-08-14 10:09	2,145,280	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 09:33	2,023,936	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 21:14	90,112	----a-w	C:\WINDOWS\system32\ATIBRTMON.EXE
2008-08-03 09:33	1,614,848	----a-w	C:\WINDOWS\system32\sfcfiles.dll
2008-07-31 08:41	68,616	----a-w	C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41	238,088	----a-w	C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40	509,448	----a-w	C:\WINDOWS\system32\XAudio2_2.dll
2008-07-18 21:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 21:10	68,808	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 21:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 21:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 21:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 21:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 21:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 21:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
.

------- Sigcheck -------

2008-04-14 05:42  975872  561a50497324f378e30f55d09b4e1258	C:\WINDOWS\explorer.exe
2008-04-14 05:42  975872  561a50497324f378e30f55d09b4e1258	C:\WINDOWS\system32\dllcache\explorer.exe

2008-07-18 23:10  68808  136896c2cdc3f689876e0d44485153ea	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 23:10  68808  136896c2cdc3f689876e0d44485153ea	C:\WINDOWS\system32\dllcache\wuauclt.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Steam"="D:\Steam\Steam.exe" [2008-10-01 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2008-04-14 C:\WINDOWS\system32\advpack.dll]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"D:\\Sierra Entertainment\\Empire Earth III\\EE3.exe"=
"D:\\PES 2008 Reality Edition\\PES2008.exe"=
"D:\\Empire Earth\\Empire Earth.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 380736]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EB986EA8-F050-77E2-4B8D-C154BF542FEB}]
C:\WINDOWS\system32\winupd.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Explorer_Run-Sidebar - C:\DOCUME~1\freeman\LOCALS~1\Temp\sidebar.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Documents and Settings\freeman\Application Data\Mozilla\Firefox\Profiles\azk5et6z.default\
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 00:23:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  Sidebar = C:\DOCUME~1\freeman\LOCALS~1\Temp\sidebar.exe????0???????A??????????c????????A??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????,?????@?????????????(????????H??????????????8?? 

Scanne versteckte Dateien...


C:\DOCUME~1\freeman\LOCALS~1\Temp\RGI69.tmp

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19  0:24:03
ComboFix-quarantined-files.txt  2008-10-18 22:24:01

Vor Suchlauf: 16.399.736.832 bytes free
Nach Suchlauf: 16,795,770,880 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

264	--- E O F ---	2008-10-18 22:19:56

myrtille · 19.10.2008, 14:56

Hi,
Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

registry::
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
Sidebar =-

file::
C:\DOCUME~1\freeman\LOCALS~1\Temp\RGI69.tmp

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

freeman8080 · 19.10.2008, 15:18

Ok hab genau das gemacht wie du gesagt hattest:

Code:

ATTFilter

ComboFix 08-10-18.03 - freeman 2008-10-19  0:52:11.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.1125 [GMT 2:00]
ausgeführt von:: C:\Documents and Settings\freeman\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Documents and Settings\freeman\Desktop\cfscript.txt.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\DOCUME~1\freeman\LOCALS~1\Temp\RGI69.tmp
.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-18 bis 2008-10-18  ))))))))))))))))))))))))))))))
.

2008-11-01 09:24 . 2008-04-14 01:15	59,136	--a------	C:\WINDOWS\system32\drivers\GcKernel.sys
2008-11-01 09:24 . 2008-04-14 01:15	59,136	--a--c---	C:\WINDOWS\system32\dllcache\gckernel.sys
2008-11-01 09:24 . 2001-08-17 23:36	10,240	--a------	C:\WINDOWS\system32\SWPIDFLT.DLL
2008-11-01 09:24 . 2001-08-17 23:36	10,240	--a--c---	C:\WINDOWS\system32\dllcache\swpidflt.dll
2008-11-01 09:24 . 2001-08-17 15:02	2,688	--a------	C:\WINDOWS\system32\drivers\HIDSwvd.sys
2008-11-01 09:24 . 2001-08-17 15:02	2,688	--a--c---	C:\WINDOWS\system32\dllcache\hidswvd.sys
2008-11-01 08:45 . 2008-11-01 08:45	<DIR>	d--------	C:\Program Files\SimBin
2008-11-01 05:03 . 2008-10-19 00:19	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-11-01 04:54 . 2008-11-01 04:54	2,467	--a------	C:\ads_err.dbf
2008-11-01 03:19 . 2008-11-01 03:19	244	--ah-----	C:\sqmnoopt01.sqm
2008-11-01 03:19 . 2008-11-01 03:19	232	--ah-----	C:\sqmdata01.sqm
2008-11-01 02:26 . 2008-11-01 02:26	<DIR>	d--------	C:\Program Files\Messenger Plus! Live
2008-11-01 02:18 . 2008-08-14 12:11	2,189,184	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-11-01 02:18 . 2008-08-14 12:09	2,145,280	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-11-01 02:18 . 2008-08-14 11:33	2,066,048	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-11-01 02:18 . 2008-08-14 11:33	2,023,936	-----c---	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-11-01 02:16 . 2008-11-01 02:16	268	--ah-----	C:\sqmdata11.sqm
2008-11-01 02:16 . 2008-11-01 02:16	244	--ah-----	C:\sqmnoopt11.sqm
2008-11-01 02:16 . 2008-11-01 02:16	172	--ah-----	C:\sqmnoopt12.sqm
2008-11-01 02:16 . 2008-11-01 02:16	172	--ah-----	C:\sqmdata12.sqm
2008-11-01 01:42 . 2008-11-01 07:24	<DIR>	d--------	C:\Program Files\DAEMON Tools Lite
2008-11-01 01:41 . 2008-11-01 01:41	172	--ah-----	C:\sqmnoopt10.sqm
2008-11-01 01:41 . 2008-11-01 01:41	172	--ah-----	C:\sqmdata10.sqm
2008-11-01 01:40 . 2008-11-01 01:40	268	--ah-----	C:\sqmdata09.sqm
2008-11-01 01:40 . 2008-11-01 01:40	244	--ah-----	C:\sqmnoopt09.sqm
2008-11-01 01:33 . 2008-11-01 01:33	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\DAEMON Tools
2008-11-01 01:33 . 2008-11-01 01:33	717,296	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2008-11-01 01:17 . 2008-11-01 01:17	21,840	--a------	C:\WINDOWS\system32\SIntfNT.dll
2008-11-01 01:17 . 2008-11-01 01:17	17,212	--a------	C:\WINDOWS\system32\SIntf32.dll
2008-11-01 01:17 . 2008-11-01 01:17	12,067	--a------	C:\WINDOWS\system32\SIntf16.dll
2008-11-01 01:15 . 2008-11-01 01:15	204	--a------	C:\WINDOWS\SIERRA.INI
2008-11-01 01:13 . 2008-11-01 01:13	<DIR>	d--------	C:\Program Files\Windows Media Connect 2
2008-11-01 01:10 . 2008-11-01 01:12	<DIR>	d--------	C:\WINDOWS\system32\drivers\UMDF
2008-11-01 00:40 . 2008-11-01 00:40	244	--ah-----	C:\sqmnoopt07.sqm
2008-11-01 00:40 . 2008-11-01 00:40	232	--ah-----	C:\sqmdata07.sqm
2008-11-01 00:40 . 2008-11-01 00:40	172	--ah-----	C:\sqmnoopt08.sqm
2008-11-01 00:40 . 2008-11-01 00:40	148	--ah-----	C:\sqmdata08.sqm
2008-11-01 00:36 . 2008-11-01 00:36	172	--ah-----	C:\sqmnoopt06.sqm
2008-11-01 00:36 . 2008-11-01 00:36	172	--ah-----	C:\sqmdata06.sqm
2008-11-01 00:34 . 2008-06-10 03:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-11-01 00:34 . 2008-11-01 00:34	268	--ah-----	C:\sqmdata05.sqm
2008-11-01 00:34 . 2008-11-01 00:34	244	--ah-----	C:\sqmnoopt05.sqm
2008-11-01 00:33 . 2008-11-01 00:34	<DIR>	d--------	C:\Program Files\Java
2008-11-01 00:33 . 2008-11-01 00:33	<DIR>	d--------	C:\Program Files\Common Files\Java
2008-11-01 00:27 . 2008-11-01 00:27	63,548	--a------	C:\WINDOWS\BricoPackUninst.cmd
2008-11-01 00:26 . 2008-11-01 00:26	3,932,214	--a------	C:\WINDOWS\BricoPack Wallpaper.bmp
2008-11-01 00:25 . 2008-11-01 00:25	<DIR>	d--------	C:\WINDOWS\BricoPacks
2008-11-01 00:25 . 2008-11-01 00:27	6,118	--a------	C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-11-01 00:22 . 2008-11-01 00:22	268	--ah-----	C:\sqmdata00.sqm
2008-11-01 00:22 . 2008-11-01 00:22	244	--ah-----	C:\sqmnoopt00.sqm
2008-10-10 12:49 . 2008-10-10 12:49	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Leadertech
2008-10-09 22:53 . 2008-06-13 13:05	272,128	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-10-09 22:53 . 2008-06-13 13:05	272,128	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-09 22:52 . 2008-04-14 05:42	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-10-09 22:22 . 2008-10-09 22:22	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Canneverbe_Limited
2008-10-09 22:21 . 2008-10-09 22:21	<DIR>	d--------	C:\Program Files\CDBurnerXP
2008-10-09 21:40 . 2008-10-09 21:40	<DIR>	d--------	C:\WINDOWS\PES 2008 Reality Edition
2008-10-09 21:07 . 2008-10-09 21:09	<DIR>	d--------	C:\Program Files\Winamp
2008-10-09 21:07 . 2008-10-09 21:11	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Winamp
2008-10-09 20:02 . 2008-10-09 20:02	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\Sierra Entertainment
2008-10-09 20:01 . 2008-10-09 20:01	<DIR>	d--------	C:\WINDOWS\85EBB28365AF4C539EBE7C0A232762F7.TMP
2008-10-09 19:52 . 2008-10-09 19:52	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\InstallShield
2008-10-09 19:07 . 2008-11-01 02:17	<DIR>	d--------	C:\Program Files\media Verlagsgesellschaft mbH
2008-10-09 18:43 . 2008-10-09 18:43	<DIR>	d--------	C:\Program Files\GameSpy
2008-10-09 18:42 . 2008-10-09 18:42	<DIR>	d--------	C:\WINDOWS\system32\URTTEMP
2008-10-09 18:26 . 2008-10-09 18:26	22,328	--a------	C:\Documents and Settings\freeman\Application Data\PnkBstrK.sys
2008-10-09 18:25 . 2008-11-01 01:10	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-10-09 18:03 . 2008-10-09 18:03	<DIR>	d--------	C:\Program Files\Electronic Arts
2008-10-09 15:19 . 2008-10-09 15:19	<DIR>	dr-h-----	C:\Documents and Settings\freeman\Application Data\SecuROM
2008-10-09 15:19 . 2008-10-09 15:19	107,888	--a------	C:\WINDOWS\system32\CmdLineExt.dll
2008-10-09 15:01 . 2008-10-09 22:23	<DIR>	d--------	C:\Documents and Settings\freeman\Application Data\DivX
2008-10-09 15:00 . 2008-10-09 15:01	<DIR>	d--------	C:\Program Files\DivX
2008-10-09 14:34 . 2008-10-09 14:34	<DIR>	d--h-----	C:\WINDOWS\PIF
2008-10-09 14:31 . 2008-10-09 14:31	<DIR>	d--------	C:\WINDOWS\system32\AGEIA
2008-10-09 14:31 . 2008-10-09 20:00	<DIR>	d--------	C:\Program Files\Common Files\Wise Installation Wizard
2008-10-09 14:31 . 2008-10-09 14:31	<DIR>	d--------	C:\Program Files\AGEIA Technologies
2008-10-01 04:28 . 2008-10-01 04:28	268	--ah-----	C:\sqmdata02.sqm
2008-10-01 04:28 . 2008-10-01 04:28	244	--ah-----	C:\sqmnoopt02.sqm
2008-10-01 04:13 . 2008-10-01 04:13	<DIR>	d--------	C:\Program Files\K-Lite Codec Pack
2008-10-01 04:13 . 2008-07-04 08:34	860,160	--a------	C:\WINDOWS\system32\lameACM.acm
2008-10-01 04:13 . 2008-01-10 14:15	755,027	--a------	C:\WINDOWS\system32\xvidcore.dll
2008-10-01 04:13 . 2004-01-25 18:18	217,088	--a------	C:\WINDOWS\system32\yv12vfw.dll
2008-10-01 04:13 . 2007-09-04 18:56	164,352	--a------	C:\WINDOWS\system32\unrar.dll
2008-10-01 04:13 . 2008-01-10 14:16	159,839	--a------	C:\WINDOWS\system32\xvidvfw.dll
2008-10-01 04:13 . 2007-09-21 02:52	118,784	--a------	C:\WINDOWS\system32\ac3acm.acm
2008-10-01 04:13 . 2008-06-12 20:36	7,680	--a------	C:\WINDOWS\system32\ff_vfw.dll
2008-10-01 04:13 . 2007-07-10 18:10	547	--a------	C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-10-01 04:13 . 2007-10-03 17:03	414	--a------	C:\WINDOWS\system32\lame_acm.xml
2008-10-01 04:13 . 2008-07-30 21:09	38	--a------	C:\WINDOWS\avisplitter.ini
2008-10-01 04:00 . 2008-11-01 01:05	825	--a------	C:\WINDOWS\system\CmiCnfg.ini

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-01 00:21	---------	d-----w	C:\Program Files\Windows Live
2008-11-01 00:16	---------	d-----w	C:\Documents and Settings\All Users\Application Data\McAfee
2008-11-01 00:11	---------	d-----w	C:\Program Files\Common Files\BitDefender
2008-10-31 22:44	---------	d-----w	C:\Program Files\Realtek AC97
2008-10-31 22:27	218,624	----a-w	C:\WINDOWS\system32\uxtheme.dll
2008-10-01 01:49	---------	d-----w	C:\Documents and Settings\freeman\Application Data\ATI
2008-10-01 01:49	---------	d-----w	C:\Documents and Settings\All Users\Application Data\ATI
2008-10-01 01:47	---------	d-----w	C:\Program Files\Common Files\InstallShield
2008-10-01 01:47	---------	d-----w	C:\Program Files\ATI Technologies
2008-10-01 01:40	---------	d-----w	C:\Program Files\Reference Assemblies
2008-10-01 01:40	---------	d-----w	C:\Program Files\MSBuild
2008-10-01 01:17	---------	d-----w	C:\Program Files\microsoft frontpage
2008-10-01 00:59	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-10-01 00:59	---------	d-----w	C:\Program Files\C-Media 3D Audio
2008-10-01 00:46	---------	d-----w	C:\Program Files\BitDefender
2008-09-24 08:40	4,122,368	----a-r	C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-09-16 00:14	9,464	------w	C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-16 00:14	9,336	------w	C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-16 00:14	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-09-16 00:14	43,528	------w	C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-09-16 00:14	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-09-16 00:14	129,784	------w	C:\WINDOWS\system32\pxafs.dll
2008-09-16 00:14	120,056	------w	C:\WINDOWS\system32\pxcpyi64.exe
2008-09-16 00:14	118,520	------w	C:\WINDOWS\system32\pxinsi64.exe
2008-09-16 00:12	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-09-16 00:12	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-09-16 00:12	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-09-16 00:12	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-09-16 00:12	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-09-16 00:12	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-09-16 00:12	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-09-16 00:12	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-09-16 00:12	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-09-16 00:12	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-09-16 00:11	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-09-16 00:11	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-09-16 00:11	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-09-16 00:11	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-09-16 00:11	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-09-16 00:11	161,096	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-09-15 12:12	1,846,400	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-21 04:52	3,299,840	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-08-21 02:19	425,984	----a-w	C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-21 02:18	314,880	----a-w	C:\WINDOWS\system32\ati2dvag.dll
2008-08-21 02:08	184,320	----a-w	C:\WINDOWS\system32\atipdlxx.dll
2008-08-21 02:08	143,360	----a-w	C:\WINDOWS\system32\Oemdspif.dll
2008-08-21 02:07	43,520	----a-w	C:\WINDOWS\system32\ati2edxx.dll
2008-08-21 02:07	26,112	----a-w	C:\WINDOWS\system32\Ati2mdxx.exe
2008-08-21 02:07	143,360	----a-w	C:\WINDOWS\system32\ati2evxx.dll
2008-08-21 02:05	573,440	----a-w	C:\WINDOWS\system32\ati2evxx.exe
2008-08-21 02:04	53,248	----a-w	C:\WINDOWS\system32\ATIDDC.DLL
2008-08-21 02:01	10,084,352	----a-w	C:\WINDOWS\system32\atioglxx.dll
2008-08-21 01:55	4,094,560	----a-w	C:\WINDOWS\system32\ati3duag.dll
2008-08-21 01:50	307,200	----a-w	C:\WINDOWS\system32\atiiiexx.dll
2008-08-21 01:38	2,377,856	----a-w	C:\WINDOWS\system32\ativvaxx.dll
2008-08-21 01:23	48,640	----a-w	C:\WINDOWS\system32\amdpcom32.dll
2008-08-21 01:19	380,928	----a-w	C:\WINDOWS\system32\atikvmag.dll
2008-08-21 01:18	37,376	----a-w	C:\WINDOWS\system32\atiadlxx.dll
2008-08-21 01:18	17,408	----a-w	C:\WINDOWS\system32\atitvo32.dll
2008-08-21 01:17	53,248	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll
2008-08-21 01:17	253,952	----a-w	C:\WINDOWS\system32\atiok3x2.dll
2008-08-21 01:11	561,152	----a-w	C:\WINDOWS\system32\ati2cqag.dll
2008-08-20 19:05	593,920	------w	C:\WINDOWS\system32\ati2sgag.exe
2008-08-20 05:30	666,112	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-14 10:09	2,145,280	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 09:33	2,023,936	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 21:14	90,112	----a-w	C:\WINDOWS\system32\ATIBRTMON.EXE
2008-08-03 09:33	1,614,848	----a-w	C:\WINDOWS\system32\sfcfiles.dll
2008-07-31 08:41	68,616	----a-w	C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41	238,088	----a-w	C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40	509,448	----a-w	C:\WINDOWS\system32\XAudio2_2.dll
2008-07-18 21:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 21:10	68,808	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 21:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 21:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 21:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 21:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 21:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 21:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
.

------- Sigcheck -------

2008-04-14 05:42  975872  561a50497324f378e30f55d09b4e1258	C:\WINDOWS\explorer.exe
2008-04-14 05:42  975872  561a50497324f378e30f55d09b4e1258	C:\WINDOWS\system32\dllcache\explorer.exe

2008-07-18 23:10  68808  136896c2cdc3f689876e0d44485153ea	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 23:10  68808  136896c2cdc3f689876e0d44485153ea	C:\WINDOWS\system32\dllcache\wuauclt.exe
.
(((((((((((((((((((((((((((((   snapshot@2008-10-19_ 0.23.49,43   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-09 20:51:56	95,864	----a-w	C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-10-18 22:26:18	95,864	----a-w	C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-06-23 15:09:27	3,067,392	------w	C:\WINDOWS\system32\mshtml.dll
+ 2008-08-20 05:30:53	3,067,904	----a-w	C:\WINDOWS\system32\mshtml.dll
- 2002-12-31 23:05:27	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-18 22:30:40	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2002-12-31 23:05:27	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-18 22:30:40	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
- 2008-06-26 08:15:29	1,499,136	------w	C:\WINDOWS\system32\shdocvw.dll
+ 2008-08-20 05:30:51	1,499,136	----a-w	C:\WINDOWS\system32\shdocvw.dll
- 2008-06-26 08:15:30	619,520	------w	C:\WINDOWS\system32\urlmon.dll
+ 2008-08-20 05:30:52	619,520	----a-w	C:\WINDOWS\system32\urlmon.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Steam"="D:\Steam\Steam.exe" [2008-10-01 1410296]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2008-04-14 C:\WINDOWS\system32\advpack.dll]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"D:\\Sierra Entertainment\\Empire Earth III\\EE3.exe"=
"D:\\PES 2008 Reality Edition\\PES2008.exe"=
"D:\\Empire Earth\\Empire Earth.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 380736]

*Newly Created Service* - USNJSVC

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EB986EA8-F050-77E2-4B8D-C154BF542FEB}]
C:\WINDOWS\system32\winupd.exe
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 00:56:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19  0:56:50
ComboFix-quarantined-files.txt  2008-10-18 22:56:47
ComboFix2.txt  2008-10-18 22:24:04

Vor Suchlauf: 16.773.468.160 bytes free
Nach Suchlauf: 16,762,580,992 bytes free

258	--- E O F ---	2008-10-18 22:19:56

myrtille · 19.10.2008, 15:33

Hi,

das sieht soweit ganz gut aus.

Was macht der Rechner?

lg myrtille

freeman8080 · 19.10.2008, 16:28

Ich muss mich zuerst einmal bedanken für deine schnelle und zuverlässige Hilfe.Bis jetzt ist der Fehler nicht mehr aufgetaucht und ich hoffe das bleibt so.MFG Michael und einen schönen Sonntag wünsche ich noch.

19.10.2008, 13:52	#6
myrtille /// TB-Ausbilder	Vermute Virus im MSN Messenger! Hi, dein Problem lag nicht in der Sidebar.exe, das ist nur eine Datei, deren Funktion mir unbekannt ist. Du hast definitiv noch Malware aufm Rechner. lg myrtille __________________ --> Vermute Virus im MSN Messenger!

19.10.2008, 15:33	#14
myrtille /// TB-Ausbilder	Vermute Virus im MSN Messenger! Hi, das sieht soweit ganz gut aus. Was macht der Rechner? lg myrtille __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly!

Vermute Virus im MSN Messenger!

Plagegeister aller Art und deren Bekämpfung: Vermute Virus im MSN Messenger!