Zitat:

Zitat von Mr. Orange

Zweitens:
Der Masterplan für den nationalen Notstand:
(Ich werds SO mal angehen, falls es von Eurer Seite aus keine erheblichen Bedenken darüber geben sollte.)

Ich werde Norton Internet Security wieder installieren, das ich vor nem ungefähren Monat mit großem Aufwand runtergeschmissen hab. Damit will ich sämtliche Dateien nochmal durchscannen lassen; insbesondere die Dateien, die ich auf Datenträger festhalten und für das neue System wieder einsetzen will. Also z. B. Treibersetup's, Updates und dergleichen.

Das ist ein Nogo!

(Ich mach hier mal wieder worstcasescenario , muss nicht so sein, aber beweisen, dass es nicht so ist kann auch keiner)

Bitte alle ausführbaren Dateien neuinstallieren, entweder von CDs aus oder nach dem Neuaufsetzen ausm Internet runterladen. Kein Antivirenprogramm findet alles und ein besserer Trojaner kann jedes Antivirenprogramm so manipulieren, dass er nicht gefunden wird, daher wäre es auch eher sinnvoll die Daten zu prüfen bevor du sie vom Stick auf den neugemachten Rechner spielst. Dann weißt du zumindest schonmal, dass keiner dein AVP manipuliert.
Also nur Dateien sichern, die nicht ausführbar sind (Musik, Photos, Dokumente etc).
SP2 unbedingt vorher auf nem sauberen Rechner runterladen und per CD/USB/wasauchimmer auf den neugemachten Rechner einspielen bevor (!) du ins Internet gehst. (Feldversuche ergeben sonst Infektionszeiten von 10 Sekunden-4 Minuten bis sich ein Wurm durch ein Schwachstelle in dein System gewunden hat)

Zitat:

Ebenso möchte ich alle Partitionen (außer der Systempartition) auf Malware checken lassen, und dann entscheiden, was formatiert werden soll/muss und was nicht.
Wenn ich alles nötige gemacht habe, ist C: dran.

Kannst du machen. Am sichersten ist natürlich immer alles platt zu machen. Bei dir liegt allerdings kein konkreter Verdacht auf Befall außerhalb der Systemplatte vor, daher ist es dir überlassen.

Zitat:

Aber noch ein paar Fragen zu Formatieren & IP-Adresse (bzw. Identität des PC's im Netz):
-Wenn ich das System neu aufgesetzt habe, ist dann auch wirklich gewährleistet, dass absolut & ausnahmslos ALLES, was irgendwie vorher meinen PC in welcher Weise auch immer betroffen hat, hinterher weg ist bzw. keinen Einfluss mehr nimmt?

Wenn du dich an die Anleitung (wurde die schon verlinkt? Ansonstne schau mal in die FAq-Abteilung des Forums) hälst, stehen deine Chancen sehr gut, dass du sauber bist. Alles was außerhalb deines Rechners an Infos über dich gesammelt wurde (seien es nun deine Onlinebankingdaten oder deine Akte bei der Internetpolizei) bleibt natürlich bestehen. Daher hat dir nochdigger auch empfohlen die Passwörter nachm Neuaufsetzen zu ändern.

Zitat:

-Ist es so, dass durch das löschen/entfernen der Dateien auch die Malware weg ist oder hinterlassen die vielleicht für genau solche "Endlösungen" wie das Formatieren irgendwelche Einträge, Signaturen oder sonst was, das eventuell hinterher wieder bewirkt, dass irgendwelche Backdoors geöffnet werden?
(Also das quasi rein garnichts mehr auf diesen PC mit dieser IP zurückverfolgbar ist)

Es gibt theoretische Modelle in denen es Trojaner gibt die ein Formatieren der Festplatte überleben. In freier Wildbahn gibt es die aber mE noch nicht.
Beim Formatieren wird die gesamte Platte (mehrfach) vollgeschrieben und dadurch alles was vorher drauf war überschrieben. Damit hast du auch die unbekannte Datei, in der dein Backdoor steckt erwischt.
(Das eigentliche Problem bei Backdoors ist nicht, dass man sie nicht entfernen kann, sondern dass man nicht weiß wo sie sich befinden. Sobald ein Mensch Zugang zu deinem Rechner hatte kann die Datei überall sein und einen beliebigen Namen tragen. Man kann also nicht mehr sagen "Der Trojaner erzeugt folgende Dateien und die muss man entfernen")

Zitat:

-Wird die IP durch ein Formatieren automatisch geändert oder muss ich das nach der Neuinstallation des Systems manuell konfigurieren?

Wenn du nicht sehr viel Geld zahlst, hast du eh eine dynamische IP, die regelmäßig wechselt. Welche IP von welchem Benutzer wann genutzt wurde weiß nur der Provider und gibt das auch nur auf richterliche Anordnung weiter.

Zitat:

-Und sonst, alles, was je mit meinem PC in Verbindung stand, ist das dann alles abgebrochen oder bestehen immer noch gewisse "Connections" zu diesem PC?

Die Verbindung kam ja Zustande weil jemand von deinem Rechner aus die Verbindung hergestellt hat. Setzt du neu auf, hast du das Programm, das die Verbindung hergestellt hat nicht mehr aufm Rechner und bist vorerst einmal fein raus.

lg myrtille, die nicht ganz sicher ist alle Fragen richtig verstanden zuhaben. Wenn dem so ist einfach nocmal melden.

Zitat:

Zitat von myrtille

SP2 unbedingt vorher auf nem sauberen Rechner runterladen

Das Service Pack 2 geht bei mir direkt über die WinXP CD mit der Installation drauf.

Zitat:

Zitat von myrtille

(Feldversuche ergeben sonst Infektionszeiten von 10 Sekunden-4 Minuten bis sich ein Wurm durch ein Schwachstelle in dein System gewunden hat)

Was sind Feldversuche? Und in welchem Zusammenhang steht das zu einer Installation?

Zitat:

Zitat von myrtille

Kannst du machen. Am sichersten ist natürlich immer alles platt zu machen. Bei dir liegt allerdings kein konkreter Verdacht auf Befall außerhalb der Systemplatte vor, daher ist es dir überlassen.

Ich mach alles platt.

Zitat:

Zitat von myrtille

Wenn du dich an die Anleitung (wurde die schon verlinkt?

Jap, ist bereits geschehen

Zitat:

Zitat von myrtille

Onlinebankingdaten

Hab ich nichts groß, außer Amazon & eBay

Zitat:

Zitat von myrtille

Akte bei der Internetpolizei

O gott...
Was geht da vor sich? Bzw. was machen die? Was muss passieren, das man von denen "erfasst" wird, in welcher Hinsicht auch immer?
Was muss passieren, damit die mal "aufn Bierchen" vorbeischauen?

Zitat:

Zitat von myrtille

dynamische IP

Wie kann man das einrichten?
Gibts das auch umsonst?

Zitat:

Zitat von myrtille

Die Verbindung kam ja Zustande weil jemand von deinem Rechner aus die Verbindung hergestellt hat.

Heisst das, dass ich (im klassischen Sinne) "gehackt" worden bin?

---
Madame hat übrigens alles richtig verstanden.

Besten Dank für Deine Ausführungen!

Ach ja, und, muss man unbedingt neu partitionieren?

Zitat:

Zitat von Mr. Orange

Was sind Feldversuche? Und in welchem Zusammenhang steht das zu einer Installation?

Das sind Leute die zuviel Zeit haben, sich also einfach mal Windows ohne Service Packs installiert haben und damit ins Netz gegangen sind. Ich glaub Sunny war mit von der Party und glamatus?
Nähreres gibts hier nachzulesen: 4 min

Zitat:

Hab ich nichts groß, außer Amazon & eBay

Auch dort lässt sich viel Geld machen, wenn die Jungs deine Tasteneingaben gespeichert haben.

Zitat:

Was geht da vor sich? Bzw. was machen die? Was muss passieren, das man von denen "erfasst" wird, in welcher Hinsicht auch immer?
Was muss passieren, damit die mal "aufn Bierchen" vorbeischauen?

Wie gesagt "worstcase", das bezieht sich mehr auf den Fall, dass du als Mitglied eines Botnetzes oder als Vertreiber von illegalen Daten bereits aufgefallen bist und Ermittlungen gegen dich im Gange sind. Ist sehr bis beliebig unwahrscheinlich.

Zitat:

Zitat von wegen dynamischer IP

Wie kann man das einrichten?
Gibts das auch umsonst?

Wie gesagt es kostet ne ganz Menge Geld, wenn du das nicht haben willst. Also ja, es ist eingerichtet und ja es ist sozusagen umsonst, bzw kommt mit deiner Internetverbindung mit.

Zitat:

Heisst das, dass ich (im klassischen Sinne) "gehackt" worden bin?

Das hängt davon ab, was du unter "gehackt" verstehst.

Im Endeffekt hast du das Programm installiert und somit auch gestartet (oder ein weiterer Benutzer deines Rechners), somit brauchtest du gar nicht mehr "gehackt" werden, es musste nur noch eine Möglichkeit gefunden werden unbemerkt rauszukommen. "Hacker" versuchen unbemerkt reinzukommen.

EDIT:
Hab ich mal wieder partitionieren geschrieben und formatieren gemeint, oder wieso fragst du?
Nein du musst nicht unbedingt neu partitionieren.

Hey

Die Neuaufsetzung des Systems ist weitgehend problemlos abgelaufen.
Ich hab mit dem AntiVir Premium allerdings auf C: im Logfile einige "warnungen" angezeigt bekommen. Also keine Detections, sondern Warnungen, unter denen Dateinamen verzeichnet waren, die vom Virenprogramm während des Scans nicht geöffnet werden konnten.

Ist das besorgniserregend?


Nochmals besten Dank für eure Administration.

Hi, was für Warnungen sind das denn genau?

Wenn es sich um pagefile.sys, hyberfil.sys etc handelt, dann sind das Windowsdateien.
Das sind mE Auslagerungsdateien (?), wobei die hyberfil.sys zb für die Speicherungen beim Ruhezustand zuständig ist.

Lg myrtille

Soweit ich mich erinnern kann, waren das Dateien aus dem Windows und dem system32 Ordner, in denen bestimmte Files nicht geöffnet werden konnten.
Wenn ich das DHCP-Problem an meinem obigen Rechner gelöst habe und wieder ins Netz kann, poste ich mal das Logfile hier rein.

so sieht z:B. das letzte LOG vom Scan aus:

Report file date: Freitag, 27. Juli 2007 16:36


Jobname: 'Manual Selection'

Scanning for 310422 virus strains and unwanted programs.

Licensed to: ************
Serialnumber: **********
Platform: Windows XP
Windowsversion: (Service Pack 2)
Username: ******
Computername: ******

Versioninformations:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 09:54:48
AVSCAN.DLL : 7.0.0.21 42536 31.01.2006 09:54:48
LUKE.DLL : 7.0.0.21 114728 31.01.2006 09:54:48
LUKERES.DLL : 7.0.0.21 27688 31.01.2006 09:54:48
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 09:47:34
ANTIVIR1.VDF : 6.33.0.207 1160192 09.02.2006 14:53:42
ANTIVIR2.VDF : 6.33.0.220 50688 09.02.2006 14:53:42
ANTIVIR3.VDF : 6.33.0.224 7168 09.02.2006 14:53:42
AVEWIN32.DLL : 6.33.0.34 1044992 02.02.2006 09:21:04
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:06:02
AVREP.DLL : 6.33.0.201 2363432 08.02.2006 08:19:50
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 08:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:36
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:50
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:50


Start of the scan: Freitag, 27. Juli 2007 16:36


Start scanning boot sectors:

Boot sector 'C:'
[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( 70 files ).


Starting the file scan:

C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ\Application.mdb
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ\********\Messages.mdb
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\ICQ\********\Owner.mdb
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\xre9m8i6.default\parent.lock
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\JETD3AC.tmp
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\SoftwareDistribution\EventCache\{83D3D784-61C7-4E8D-B525-5B02221A84CB}.bin
[WARNING] The file could not be opened!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNING] The file could not be opened!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!


End of the scan: Freitag, 27. Juli 2007 16:48
Used time: 11:59 min

The scan has been done completely.

4193 Scanning directories
134172 Files were scanned
0 viruses and/or unwanted programs was found
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1367 Archives were scanned
62 Warnings
1 Notes

irgendwas, was da nicht stehen sollte??

Mach mal noch folgendes:


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Sunny

F-Secure hat nichts gefunden.

Bei ComboFiux kam das heraus:

"*******" - 2007-07-27 18:35:16 [GMT 2:00] - ComboFix 07-07-24 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_IPRIP
-------\LEGACY_NPF
-------\Iprip
-------\nm


((((((((((((((((((((((((( Files Created from 2007-06-27 to 2007-07-27 )))))))))))))))))))))))))))))))


2007-07-27 18:34 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-27 17:25 108,544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-27 17:25 104,960 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-27 17:25 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-07-27 17:24 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\Musicmatch
2007-07-27 15:40 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-07-27 15:40 <DIR> d-------- C:\Programme\eMule.de 0.48a v18
2007-07-27 11:43 12,672 --a------ C:\WINDOWS\system32\drivers\MTiCtwl.sys
2007-07-27 11:43 <DIR> d-------- C:\Programme\MagicTune Premium
2007-07-27 11:21 <DIR> d-------- C:\Programme\MSXML 4.0
2007-07-26 23:11 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\CyberLink
2007-07-26 23:10 <DIR> d-------- C:\Programme\CyberLink
2007-07-26 23:10 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
2007-07-26 23:07 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\vlc
2007-07-26 23:06 <DIR> d-------- C:\Programme\VideoLAN
2007-07-26 17:54 36,864 --a------ C:\WINDOWS\system32\iprip.dll
2007-07-26 17:54 19,456 --a------ C:\WINDOWS\system32\simptcp.dll
2007-07-26 17:42 40,960 --a------ C:\WINDOWS\system32\ZDWlan.dll
2007-07-26 17:42 40,960 --a------ C:\WINDOWS\system32\PassAPP.dll
2007-07-26 17:42 28,672 --a------ C:\WINDOWS\system32\InsDrvZD.dll
2007-07-25 17:17 5,306 -ra------ C:\WINDOWS\system32\drivers\TBPanel.sys
2007-07-25 17:17 36,864 -ra------ C:\WINDOWS\GWLib.dll
2007-07-25 17:16 5,120 -ra------ C:\WINDOWS\TBManage.dll
2007-07-25 17:16 33,280 -ra------ C:\WINDOWS\DXTool.exe
2007-07-25 17:16 26,624 -ra------ C:\WINDOWS\TBZoom.exe
2007-07-25 17:16 2,043,904 -ra------ C:\WINDOWS\TBPanel.exe
2007-07-25 17:16 <DIR> d-------- C:\WINDOWS\UI
2007-07-25 16:59 94,208 --a------ C:\WINDOWS\system32\W32N50CT.dll
2007-07-25 16:59 62,673 -ra------ C:\WINDOWS\system32\drivers\odysseyIM3.sys
2007-07-25 16:59 17,142 --a------ C:\WINDOWS\system32\CBTNDIS5.sys
2007-07-25 16:59 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-07-25 16:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Funk Software
2007-07-25 16:59 <DIR> d-------- C:\Programme\Funk Software
2007-07-25 16:34 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2007-07-25 15:41 237,568 -ra------ C:\WINDOWS\system32\drivers\ZD1211U.sys
2007-07-25 15:16 <DIR> d-------- C:\WINDOWS\pss
2007-07-25 14:58 <DIR> d-------- C:\DOKUME~1\******\ANWEND~1\Command & Conquer 3 Tiberium Wars
2007-07-25 14:24 69,504 --a------ C:\WINDOWS\system32\drivers\LMOUKE.sys
2007-07-25 14:24 53,632 --a------ C:\WINDOWS\system32\drivers\L8042MOU.SYS
2007-07-25 14:24 258,352 --a------ C:\WINDOWS\system32\unicows.dll
2007-07-25 14:24 14,592 --a------ C:\WINDOWS\system32\drivers\LUsbKbd.sys
2007-07-25 14:24 13,056 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.SYS
2007-07-25 13:56 <DIR> d-------- C:\WINDOWS\ShellNew
2007-07-25 13:39 41,984 --------- C:\WINDOWS\Ctregrun.exe
2007-07-25 13:36 90,112 --------- C:\WINDOWS\Updreg.EXE
2007-07-25 13:36 84,992 --------- C:\WINDOWS\system32\SFCVRT32.DLL
2007-07-25 13:36 82,432 --------- C:\WINDOWS\system32\CTWFLT32.DLL
2007-07-25 13:36 54,784 --------- C:\WINDOWS\system32\INETWH32.DLL
2007-07-25 13:36 53,552 --------- C:\WINDOWS\CTCCW.DLL
2007-07-25 13:36 26,768 --------- C:\WINDOWS\system32\CTL3D.DLL
2007-07-25 13:36 24,976 --------- C:\WINDOWS\CTRES.DLL
2007-07-25 13:36 149,504 --------- C:\WINDOWS\system32\MFCANS32.DLL
2007-07-25 13:36 12,288 --a------ C:\WINDOWS\system32\AHQCpURes.dll
2007-07-25 13:36 108,032 --------- C:\WINDOWS\system32\MFCUIA32.DLL
2007-07-25 13:36 1,048,576 --------- C:\WINDOWS\system32\SFMAN.DAT
2007-07-25 13:35 <DIR> d-------- C:\WINDOWS\system32\Win9X
2007-07-25 13:34 66,048 --a------ C:\WINDOWS\system32\CtDetres.dll
2007-07-25 13:34 44,032 --a------ C:\WINDOWS\system32\CTSVCCDA.EXE
2007-07-25 13:34 331,776 --------- C:\WINDOWS\system32\CTMEDENG.DLL
2007-07-25 13:34 25,088 --a------ C:\WINDOWS\system32\CTSVCCTL.EXE
2007-07-25 13:34 24,576 --a------ C:\WINDOWS\system32\CTMERes.DLL
2007-07-25 13:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\HP
2007-07-25 13:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-07-25 13:28 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonic
2007-07-25 13:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2007-07-25 13:26 <DIR> d-------- C:\Programme\Hewlett-Packard
2007-07-25 13:25 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-07-25 13:24 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll
2007-07-25 13:24 51,120 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2007-07-25 13:24 37,376 --a------ C:\WINDOWS\system32\hpz3l3xu.dll
2007-07-25 13:24 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2007-07-25 13:23 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2007-07-25 13:23 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2007-07-25 13:23 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2007-07-25 13:23 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2007-07-25 13:23 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-07-25 13:23 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2007-07-25 13:23 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2007-07-25 13:23 <DIR> d-------- C:\Program Files
2007-07-25 13:20 <DIR> d-------- C:\Programme\HP
2007-07-25 13:17 82,527 --a------ C:\WINDOWS\HPHins08.dat
2007-07-25 13:17 4,011 --------- C:\WINDOWS\hphmdl08.dat
2007-07-25 13:17 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\HP
2007-07-25 13:04 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\ICQ
2007-07-25 13:03 <DIR> d-------- C:\Programme\ICQ6
2007-07-25 12:56 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\Google
2007-07-25 12:54 <DIR> d-------- C:\Programme\Google
2007-07-25 12:54 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-07-25 12:47 <DIR> d-------- C:\Programme\Musicmatch
2007-07-25 12:36 <DIR> d-------- C:\Programme\Logitech
2007-07-25 12:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2007-07-25 12:36 <DIR> d-------- C:\DOKUME~1\********\ANWEND~1\Logitech
2007-07-25 12:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\LogiShrd
2007-07-25 12:08 192,022 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\firstlsp.reg.dat
2007-07-25 12:08 <DIR> d-------- C:\WINDOWS\system32\AVGUARD_46af76f2
2007-07-25 12:07 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-07-25 12:07 1,047,552 --a------ C:\WINDOWS\system32\mfc71u.dll
2007-07-25 12:07 <DIR> d-------- C:\Programme\AntiVir PersonalEdition Premium
2007-07-25 12:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Premium
2007-07-25 11:56 0 --a------ C:\WINDOWS\nsreg.dat


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-27 09:12:20 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-27 09:12:20 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-09-30 14:03]
"Diamondback"="C:\Programme\Razer\Diamondback\razerhid.exe" [2007-02-14 11:15]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 C:\WINDOWS\system32\CTXFIHLP.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" [2006-01-18 15:52]
"MMTray"="C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 13:26]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 19:35]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]
"CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 10:43]
"nwiz"="nwiz.exe" [2005-07-20 15:07 C:\WINDOWS\system32\nwiz.exe]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 13:26]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-25 12:54]
"eMuleAutoStart"="C:\Programme\eMule.de 0.48a v18\emule.exe" [2007-07-07 16:46]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
GammaTray.lnk - C:\Programme\MagicTune Premium\GammaTray.exe [2007-07-27 11:43:26]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-07-25 12:54:30]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-07-25 14:24:40]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 NVTCP;NVIDIA TCP/IP Protocol Driver;C:\WINDOWS\system32\DRIVERS\NVTcp.sys
R2 ForceWare Intelligent Application Manager (IAM);ForceWare Intelligent Application Manager (IAM);C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
R2 MagicTuneEngine;MagicTuneEngine;C:\Programme\MagicTune Premium\MagicTuneEngine.exe
R2 SimpTcp;Einfache TCP/IP-Dienste;C:\WINDOWS\system32\tcpsvcs.exe
R2 TBPanel;TBPanel;C:\WINDOWS\system32\drivers\TBPanel.sys
R3 LUsbKbd;Logitech SetPoint USB Filter Driver;C:\WINDOWS\system32\drivers\LUsbKbd.sys
R3 MagicTune;MagicTune;C:\WINDOWS\system32\drivers\MTiCtwl.sys
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys
R3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys
R3 tunmp;Microsoft Tun-Miniportadaptertreiber;C:\WINDOWS\system32\DRIVERS\tunmp.sys
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys
S2 AntiVirMailService;AntiVir Mail Security Service;C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
S2 AVEService;AVE Service;"C:\Programme\AVPersonalPremium\AVESVC.EXE"
S3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\CBTNDIS5.SYS
S3 hap17v2k;Creative P17V HAL Driver;C:\WINDOWS\system32\drivers\hap17v2k.sys
S3 irsir;Microsoft serieller Infrarottreiber;C:\WINDOWS\system32\DRIVERS\irsir.sys
S3 L8042Kbd;Logitech SetPoint Keyboard Driver;C:\WINDOWS\system32\Drivers\L8042Kbd.sys
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 p2pimsvc;Peernetzwerkidentit„ts-Manager;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe -k p2psvc
S3 USB_RNDIS;Belkin High-Speed Mode Wireless G USB Network Adapter Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys
S3 ZDPNDIS5;ZDPNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\ZDPNDIS5.SYS

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc

*Newly Created Service* - UMWDF

Contents of the 'Scheduled Tasks' folder
2007-07-27 14:00:00 C:\WINDOWS\tasks\HPpromotions journeysoftware.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-27 18:38:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-27 18:39:11 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-27 18:39

--- E O F ---

Tool zum Entfernen von Trojaner.Virtumonde