Hey,
gestern hat sich meine Firewall gemeldet, weil svchost einen "Schellcode ausführen wollte, was auf eine Speicheroverflow-Attacke hindeuten könnte".
Hab mir nichts dabei gedacht, da svchost ja öfters mal die Firewall mit Anfragen belästigt, und hab's durchgelassen.
Allerdings kam dann der Hinweis von meinem avast, dass er Win32:Rootkit-gen[Rtk] in C:\WINDOWS\system32\x gefunden hätte.
Das lies sich über den Antivirus zwar löschen, aber leider kommt der gesamte Vorgang in unregelmäßigem Abstand wieder. Wenn ich versuche svchost am Ausführen des Schellcodes zu hindern, dann hängt sich Windows auf (genauer gesagt: Die Taskleiste reagiert nicht mehr, alle Programme laufen aber weiter).

Klingt leider garnicht gut. Hab im Netz gesehen, dass es ab und zu auch Fehlalarme gibt, kann das sein? Und wenn nicht: Besteht den noch Hoffnung ohne Formatieren aus zu kommen.

Gmer-Scan ergab folgendes:
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-20 20:08:52
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT spys.sys ZwEnumerateKey [0xF72A4CA4]
SSDT spys.sys ZwEnumerateValueKey [0xF72A5032]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A4CF1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs Shadow.sys (ShadowUser/StorageCraft, Inc.)

Device \FileSystem\Fastfat \Fat 89A83500

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----


Und HijackThis meint:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:48, on 20.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Avast4\ashWebSv.exe
c:\Programme\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AccelerometerSt.Exe
C:\Programme\ActivIdentity\ActivClient\accrdsub.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Comodo\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
c:\Programme\ActivIdentity\ActivClient\acevents.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\wuauclt.exe
c:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Tools\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.Exe
O4 - HKLM\..\Run: [StartCCC] "c:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [accrdsub] "c:\Programme\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SuNotification] C:\Programme\ShadowUser\suatshut.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=all&pf=cmnb
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: vsmvhk.dll APSHook.dll C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: ackpbsc - c:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - c:\Programme\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: OneCard - c:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Programme\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Google Update Service (gupdate1c9b6056e14540c) (gupdate1c9b6056e14540c) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 8358 bytes


Wäre echt dankbar, wenn mir jemand weiterhelfen könnte.

Grüße,
-Z

Hallo und Herzlich Willkommen!

Man sollte NIE die Funde gleich löschen lassen, warum:
Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht,dass sie so harmlos sind, wie (oft) dargestelltwird
Ausserdem es gibt sehr viele verschiedene Arten der Malware. Manche haben das Ziel oder/und Fähigkeiten Systemdateien ändern/überschreiben/zerstören. In dem Fall durch die Löschaktion, kannst das System unbrauchbar machen
Erkundige Du dich lieber bei Fachleuten zuerst!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Danke für den Tipp (den ersten), Coverflow, werd ich beherzigen.

So, nun die Daten:
filelist

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\

20.10.2009  22:13                43 filelist.txt
20.10.2009  20:12     1.875.759.104 hiberfil.sys
20.10.2009  20:12     2.145.386.496 pagefile.sys
21.07.2009  21:28             4.096 SHADOW.IDX
16.06.2009  00:36                 0 IO.SYS
16.06.2009  00:36                 0 MSDOS.SYS
02.06.2009  19:52               187 Verkn�pfung mit HP_TOOLS (D).lnk
10.02.2009  18:30               223 boot.ini
              11 Datei(en)  4.021.453.849 Bytes
               0 Verzeichnis(se), 118.430.019.584 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\WINDOWS

20.10.2009  22:01               603 win.ini
20.10.2009  20:52            32.630 SchedLgU.Txt
20.10.2009  20:15           926.761 setupapi.log
20.10.2009  20:12                 0 0.log
20.10.2009  20:12         1.907.821 WindowsUpdate.log
20.10.2009  20:12               159 wiadebug.log
20.10.2009  20:12                50 wiaservc.log
20.10.2009  20:12             2.048 bootstat.dat
20.10.2009  13:28            35.815 tabletoc.log
20.10.2009  13:28           239.974 comsetup.log
20.10.2009  13:28             1.393 imsins.log
20.10.2009  13:28           331.224 tsoc.log
20.10.2009  13:28           144.724 ntdtcsetup.log
20.10.2009  13:28            38.706 ocmsn.log
20.10.2009  13:28           809.694 iis6.log
20.10.2009  13:28             9.859 KB893357.log
20.10.2009  13:28            80.672 KB937143.log
20.10.2009  13:28           349.830 ocgen.log
20.10.2009  13:28            49.455 MedCtrOC.log
20.10.2009  13:28           124.081 netfxocm.log
20.10.2009  13:28            35.738 msgsocm.log
20.10.2009  13:28           702.738 FaxSetup.log
20.10.2009  13:28           222.566 msmqinst.log
20.10.2009  13:28            27.183 updspapi.log
11.10.2009  17:46            43.967 wmsetup.log
11.10.2009  14:44               130 cfplogvw.INI
04.10.2009  18:46             8.192 REGLOCS.OLD
07.05.2009  18:00           216.755 setupact.log
23.04.2009  12:18                27 BRPP2KA.INI
23.04.2009  12:18               425 BRWMARK.INI

             214 Datei(en)     21.595.950 Bytes
               0 Verzeichnis(se), 118.430.007.296 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\WINDOWS\system

//alles von 2004, Anmerkung des Users
              25 Datei(en)        929.787 Bytes
               0 Verzeichnis(se), 118.430.007.296 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\WINDOWS\system32

19.10.2009  19:01             2.993 CONFIG.NT
19.10.2009  18:52             1.158 wpa.dbl
11.10.2009  14:46           179.792 guard32.dll
15.09.2009  12:59         1.279.968 aswBoot.exe
15.09.2009  12:53            97.480 AvastSS.scr
14.08.2009  02:05           410.984 deploytk.dll
26.07.2009  01:19            66.480 perfc009.dat
26.07.2009  01:19           415.022 perfh009.dat
26.07.2009  01:19           432.556 perfh007.dat
26.07.2009  01:19            79.974 perfc007.dat
26.07.2009  01:19         1.005.528 PerfStringBackup.INI

            2103 Datei(en)    432.442.554 Bytes
               0 Verzeichnis(se), 118.429.827.072 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\WINDOWS\Prefetch

20.10.2009  22:13            12.954 FIND.EXE-0EC32F1E.pf
20.10.2009  22:13            12.896 CMD.EXE-087B4001.pf
20.10.2009  22:13            35.354 IZARC.EXE-2B73BBEB.pf
20.10.2009  22:05            95.210 FIREFOX.EXE-1D57670A.pf
20.10.2009  22:05            71.480 WINWORD.EXE-0B995611.pf
20.10.2009  22:04            37.614 FOXITR~1.EXE-314AFBA9.pf
20.10.2009  22:01            14.334 CALC.EXE-02CD573A.pf
20.10.2009  21:55            13.322 SNIPPY.EXE-341F00A1.pf
20.10.2009  21:28           381.044 Layout.ini
20.10.2009  21:23             8.576 SCRNSAVE.SCR-017F06EB.pf
20.10.2009  20:27            20.646 NOTEPAD.EXE-336351A9.pf
20.10.2009  20:19            70.526 CFPUPDAT.EXE-3B2FB627.pf
20.10.2009  20:19            21.348 TASKMGR.EXE-20256C55.pf
20.10.2009  20:16           102.642 AVAST.SETUP-17A8D9B1.pf
20.10.2009  20:13            64.386 WUAUCLT.EXE-399A8E72.pf
20.10.2009  20:13            80.276 CCC.EXE-1B087988.pf
20.10.2009  20:13            83.450 MOM.EXE-36B2EDCA.pf
20.10.2009  20:13            23.532 HPQTOASTER.EXE-3835EFAF.pf
20.10.2009  20:13            30.426 WMIPRVSE.EXE-28F301A9.pf
20.10.2009  20:13            71.728 ACEVENTS.EXE-0E1233C4.pf
20.10.2009  20:13            19.286 HPQWMIEX.EXE-13981AE1.pf
20.10.2009  20:13            56.872 PTKEYBOARDLAYOUTS.EXE-008B90C2.pf
20.10.2009  20:13            23.544 IMAPI.EXE-0BF740A4.pf
20.10.2009  20:13            39.396 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
20.10.2009  20:13            12.214 SUATSHUT.EXE-1A5B8DA9.pf
20.10.2009  20:13            12.838 CPQSET.EXE-2F1CA44E.pf
20.10.2009  20:13            11.708 SMAX4.EXE-2B732B8E.pf
20.10.2009  20:13         1.081.506 NTOSBOOT-B00DFAAD.pf
20.10.2009  20:11            41.296 LOGONUI.EXE-0AF22957.pf
20.10.2009  19:01            17.258 ALG.EXE-0F138680.pf
20.10.2009  19:01            20.792 ASHWEBSV.EXE-10609AF0.pf
20.10.2009  19:01            44.142 MQTGSVC.EXE-3797CD60.pf
20.10.2009  19:01            65.050 MQSVC.EXE-08588470.pf
20.10.2009  19:01            54.924 ASGHOST.EXE-029416F3.pf
20.10.2009  08:37            23.978 ACCELEROMETERST.EXE-1D2F4856.pf
20.10.2009  08:37            18.012 CLISTART.EXE-025897C5.pf
20.10.2009  08:37            17.308 RUNDLL32.EXE-4153D5D3.pf
20.10.2009  08:37            23.012 REGSVR32.EXE-25EEFE2F.pf
20.10.2009  08:37            19.644 PTSERVS.EXE-2D68FEAA.pf
              39 Datei(en)      2.854.524 Bytes
               0 Verzeichnis(se), 118.429.900.800 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\WINDOWS\tasks

20.10.2009  21:52             1.088 GoogleUpdateTaskMachineUA.job
20.10.2009  20:12             1.084 GoogleUpdateTaskMachineCore.job
20.10.2009  20:12                 6 SA.DAT

               4 Datei(en)          2.243 Bytes
               0 Verzeichnis(se), 118.429.900.800 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\WINDOWS\Temp

20.10.2009  20:12            16.384 Perflib_Perfdata_5b4.dat
20.10.2009  09:36            16.384 Perflib_Perfdata_6ec.dat
20.10.2009  09:12            16.384 Perflib_Perfdata_6f8.dat
19.10.2009  22:35            16.384 Perflib_Perfdata_750.dat
19.10.2009  21:37            16.384 Perflib_Perfdata_3e4.dat
19.10.2009  20:49            16.384 Perflib_Perfdata_71c.dat
11.10.2009  14:54            16.384 Perflib_Perfdata_6b0.dat
25.09.2009  19:18               243 dw.log
02.09.2009  14:06            16.384 Perflib_Perfdata_d30.dat
19.05.2009  00:07                 0 GUR2.tmp
              10 Datei(en)        131.315 Bytes
               0 Verzeichnis(se), 118.429.900.800 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 793A-FBBB

 Verzeichnis von C:\DOKUME~1\Leon\LOKALE~1\Temp

20.10.2009  22:13                 0 etilqs_QxeB7GI6tYa9jwg5tWb6
20.10.2009  21:55            43.496 Snippy0001.jpg
20.10.2009  09:26               512 ~DF821C.tmp
20.10.2009  00:57               101 aswUpdSum.ini
20.10.2009  00:03                 0 etilqs_HNa2I0rroN2WmsphEdjl
19.10.2009  22:23                 0 etilqs_LWGQjoGjSBIspnvpRNQf
09.10.2009  02:02                 0 h5o24.tmp
07.10.2009  14:50             1.097 TWAIN.LOG
07.10.2009  14:50                 3 Twain001.Mtx
07.10.2009  14:50               156 Twunk001.MTX
29.09.2009  20:30                 0 axl33.tmp
29.09.2009  20:30                 0 tva32.tmp
29.09.2009  19:53                 0 7tc1D.tmp
29.09.2009  19:53                 0 wlx1C.tmp
26.09.2009  03:42               195 dw.log
20.09.2009  01:33                 0 9ol41.tmp
20.09.2009  01:33                 0 cla40.tmp
20.09.2009  01:33                 0 b7y3F.tmp
20.09.2009  01:32                 0 tgy3E.tmp
08.09.2009  20:53             9.651 java_install_reg.log
08.09.2009  20:53            30.691 jusched.log
26.08.2009  13:09             8.989 au-descriptor-1.6.0_15-b71.xml
17.08.2009  00:59           236.437 Snippy0002.jpg
14.08.2009  02:05            26.904 java_install.log
14.08.2009  02:04             1.109 java_install_sp.log
14.08.2009  02:04         1.089.024 4764ad.mst
14.08.2009  02:03               931 jinstall.cfg
14.08.2009  02:00           714.528 firefoxjre_exe.exe
22.07.2009  17:29           798.234 IMT4.xml
22.07.2009  17:29               426 IMT3.xml
22.07.2009  17:29             2.036 IMT2.xml
22.07.2009  13:16                 0 FairnsfC.lnk
21.07.2009  19:29                 0 isA.tmp
21.07.2009  19:28                 0 is5.tmp
09.07.2009  00:28                 0 uou74.tmp
07.07.2009  21:54                 0 GUR3.tmp
07.07.2009  11:53                 0 GUR2.tmp
16.06.2009  00:13            54.678 Setup Log 2009-06-16 #001.txt
12.06.2009  15:46                 0 gu37.tmp
09.06.2009  18:00                 0 fr321.tmp
09.06.2009  00:22                 0 f494F.tmp
09.06.2009  00:22                 0 edq4E.tmp
09.06.2009  00:21                 0 cqm4D.tmp
09.06.2009  00:20                 0 dd34C.tmp
09.06.2009  00:20                 0 qxf4B.tmp
09.06.2009  00:20                 0 h6z4A.tmp
07.06.2009  21:45            18.064 1a23_appcompat.txt
07.06.2009  21:02                 0 98y4C.tmp
04.06.2009  23:57            18.064 99e6_appcompat.txt
02.06.2009  19:26            49.152 ~DFE6F8.tmp
25.05.2009  18:50                 0 Twunk002.MTX
22.05.2009  01:43            18.064 5cec_appcompat.txt
              52 Datei(en)      3.122.542 Bytes
               0 Verzeichnis(se), 118.429.896.704 Bytes frei
         

CCleaner

Code: Alles auswählenAufklappen

ATTFilter

2007 Microsoft Office system
Activation Assistant for the 2007 Microsoft Office suites
Adobe Flash Player 10 Plugin
Adobe Photoshop CS
Agere Systems HDA Modem
AMD Driver Support for HP 3D DriverGuard
AMD Processor Driver
ATI Catalyst Control Center
ATI Display Driver
avast! Antivirus
Borland Delphi 7
BumpTop
CCleaner (remove only)
COMODO Internet Security
DAEMON Tools Toolbar
DivX Codec
DivX Plus DirectShow Filters
DivX Web Player
Foxit Reader
Google Update Helper
HijackThis 2.0.2
HP 3D DriveGuard
HP Doc Viewer
HP Help and Support
HP Integrated Module with Bluetooth wireless technology
HP ProtectTools Security Manager Suite
HP Quick Launch Buttons 6.40 E1
HP Software Setup 5.00.A.7
HP User Guide Bluetooth Addendum 0062
HP User Guides 0108
HP Wallpaper
HP Webcam
HP Webcam Application
HP Wireless Assistant
IrfanView (remove only)
IZArc 3.7
LeechFTP
LockHunter version 1.0 beta 3, 32 bit edition
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mozilla Firefox (3.0.14)
MSXML 4.0 SP2 (KB927978)
MSXML 6.0 Parser (KB927977)
OpenOffice.org 3.0
Phase 5 HTML-Editor
PLT Scheme v4.1.5
ShadowUser Pro 2.5
SoundMAX
Spybot - Search & Destroy
SWI-Prolog (remove only)
Synaptics Pointing Device Driver
TeamViewer 4
Trillian
VLC media player 0.9.8a
Windows Media Format 11 runtime
Windows Media Player 11
         

Und Kaspersky (der hat den wahren Übeltäter erwischt: Net-Worm.Win32.Kido.ih):

Code: Alles auswählenAufklappen

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 21. Oktober 2009 01:36:48
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 20/10/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 3039741
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	E:\
	H:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 111558
	Viren gefunden: 3
	Infizierte Objekte gefunden: 5
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:51:54

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo\Firewall Pro\cfplogdb.sdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\HPQLOG\HP ProtectTools Service.xml	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\content-prefs.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\cookies.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\downloads.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\formhistory.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\permissions.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\places.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\places.sqlite-journal	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\xmarks.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Eigene Dateien\Archiv Programme\Cain and Abel.exe/WISE0017.BIN	Infizierte Objekte: not-a-virus:PSWTool.Win32.Cain.y	übersprungen
C:\Dokumente und Einstellungen\Leon\Eigene Dateien\Archiv Programme\Cain and Abel.exe/WISE0026.BIN	Infizierte Objekte: not-a-virus:PSWTool.Win32.Cain.284	übersprungen
C:\Dokumente und Einstellungen\Leon\Eigene Dateien\Archiv Programme\Cain and Abel.exe	WiseSFX: infiziert - 2	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\v6d8up6t.default\urlclassifier3.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Temp\etilqs_QxeB7GI6tYa9jwg5tWb6	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009102020091021\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\ntuser.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Leon\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6MS1JSBD\ymtt[1].bmp	Infizierte Objekte: Net-Worm.Win32.Kido.ih	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5Y78H23\awpeusz[1].bmp	Infizierte Objekte: Net-Worm.Win32.Kido.ih	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Avast4\DATA\aswResp.dat	Das Objekt ist gesperrt	übersprungen
C:\Programme\Avast4\DATA\Avast4.db	Das Objekt ist gesperrt	übersprungen
C:\Programme\Avast4\DATA\log\AshWebSv.ws	Das Objekt ist gesperrt	übersprungen
C:\Programme\Avast4\DATA\log\nshield.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Avast4\DATA\log\selfdef.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Avast4\DATA\report\Residenter Schutz.txt	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\tracking.log	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP102\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Credenti.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ODiag.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\OSession.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\SafeBoot.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\MsDtc\MSDTC.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\msmq\storage\QMLog	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_5b4.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

Die Beschreibung passt haargenau auf den Wurm. Soll ich den Anweisungen von Viruslist.com folgen?

hi

1.
DAEMON Tools Toolbar - würde ich ohne nachzudenken deinstallieren

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
**ab jetzt, bis wir hier fertig sind:
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte IMMER anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

Hey, danke für die schnelle Antwort.

1. Klar, kA wie die sich ins System geschlichen hat.
2.Hier der zweite GMER Bericht (erster steht im Anfangspost):

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-20 20:08:52
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            spys.sys                                 ZwEnumerateKey [0xF72A4CA4]
SSDT            spys.sys                                 ZwEnumerateValueKey [0xF72A5032]

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                   8A4CF1F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \FileSystem\Ntfs \Ntfs                   Shadow.sys (ShadowUser/StorageCraft, Inc.)

Device          \FileSystem\Fastfat \Fat                 89A83500

AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                 cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Ip                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Tcp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Udp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp              cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\RawIp              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

___
___

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-21 17:29:47
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            splc.sys                                 ZwEnumerateKey [0xF72A4CA4]
SSDT            splc.sys                                 ZwEnumerateValueKey [0xF72A5032]

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                   8A4CF1F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \FileSystem\Ntfs \Ntfs                   Shadow.sys (ShadowUser/StorageCraft, Inc.)

Device          \FileSystem\Fastfat \Fat                 89B10500

AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                 cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Ip                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Tcp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\Udp                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp              cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice  \Driver\Tcpip \Device\RawIp              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----
         

3. FindyKill

Code: Alles auswählenAufklappen

ATTFilter

----------------- FindyKill V4.005 ------------------

* User : **** - SALVADOR
* Emplacement : C:\Programme\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Suppression effectuée à 18:09:04 le 21.10.2009
* Windows XP - Internet Explorer 6.0.2900.2180
 
 
((((((((((((((( *** Suppression *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\ActivIdentity\ActivClient\acevents.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\userinit.exe
c:\Programme\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msdtc.exe
c:\Programme\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
c:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Suppression des fichiers dans C: 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 
 
Supprimé ! - C:\WINDOWS\Prefetch\FOXITR~1.EXE-314AFBA9.pf 
Supprimé ! - C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-13404D23.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-17E59DEB.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1831A4F3.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E7B0E05.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2055C45D.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-21A1BFCE.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-277C453A.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30B3433E.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-321BFFD6.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-38305248.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3FBF6AB9.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4153D5D3.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-44A0B4BC.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf 
Supprimé ! - C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf 
Supprimé ! - C:\WINDOWS\Prefetch\SMAX4.EXE-2B732B8E.pf 
Supprimé ! - C:\WINDOWS\Prefetch\WINTEMS.EXE-1C3562E3.pf 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Suppression des fichiers dans C:\Dokumente und Einstellungen\Leon\Anwendungsdaten 
 
 
»»»» Suppression des fichiers dans C:\DOKUME~1\Leon\LOKALE~1\Temp 
 
 
--------------- [ Registre / Clés infectieuses ] ---------------- 
 
Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA   
 
      -> Certaines clés ont été supprimées au premier reboot ...  
 
--------------- [ Etat / Redémarage des services ] ---------------- 
 
+- Mode sans echec restauré ! 

+- Services : [ Auto=2 Demande=3 Désactivé=4 ] 

 Ndisuio - Type de démarrage = 2 
 
 Wlansvc - Type de démarrage = 2 
 
 Ip6Fw - Type de démarrage = 2 
 
 SharedAccess - Type de démarrage = 2 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 
---------------   [ Nettoyage des supports amovibles ] ----------------  
 
+- Informations : 

C: - Eingebautes Laufwerk

D: - Eingebautes Laufwerk

 
+- Suppression des fichiers : 
 
 
--------------- [ Registre / Moutpoint2 ] ----------------  
 
 
 -> Recherche négative. 
 
 
--------------- [ Recherche Cracks / Keygen ] ----------------  
 
 
 
---------------- ! Fin du rapport ! ------------------
         

hi

Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

MB hat nichts gefunden, allerdings ist zwei Mal der Antivirus aufgeschreckt und hat die beiden Würmer gefunden. Liegen nun im Quarantäne-Verzeichnis.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3010
Windows 5.1.2600 Service Pack 2

22.10.2009 13:01:47
mbam-log-2009-10-22 (13-01-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 238693
Laufzeit: 1 hour(s), 17 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Hab auch mal die Registry durchgesucht, nach den unter virusonline genannten Schlüsseln: Nichts gefunden.
Svchost verhält sich mittlerweile anständig und es kommen keine weiteren Overflow Attacken.

Ist das gut?

Tut mir Leid wegen Doppelpost, hab aber noch was gefunden:

Es laufen bei mir gleichzeitig 8 svchost Prozesse. Das ist doch nicht normal?!
Laut TCPView sind zwar alle Prozesse von Microsoft signiert (verifiziert), aber so viele hatte ich früher glaube ich nicht!

hi

Prozess Name: Host Process for Services
Produkt: Windows
Firma: Microsoft
Datei: svchost.exe
Sicherheits-Bewertung:

"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von DLL-Dateien ausgeführt werden. Dienste sind Funktionen, die z.B. automatische USB-Geräten erkennen oder die Druck-Funktionen ermöglichen. Dienste können gestartet oder gestoppt werden. Nicht alle Dienste benötigen Svchost.exe (nur solche, die per DLL-Dateien ausgeführt werden müssen). Das Betriebssystem startet Svchost-Sessions sobald es solche benötigt und beendet sie auch wieder, sobald einer nicht mehr gebraucht wird. Svchost.exe fasst mehrere Dienste zusammen, d.h. es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden.