hallo BataAlexander,

hier die Logs

undoreal, für Deine Anleitung brauch ich etwas länger...
ich fahr die Kiste jetzt runter und mach mich auf den weg zu Bon Jovi in München...
Bis Morgen!

=) danke bata. CF hätte ich auch jetzt rausgekramt.. aber ich glaub' nicht, dass wir die envy.exe so erwischen..

Lasse bitte erst auf Rootkits scannen. Sonst können wir uns hier dumm und dämlich Löschen...

Alle nachfolgenden Prozeduren bitte ohne Neustart zwischen drinn und danach.
Danach wechsel in den abgesicherten Modus und suche nach der envy.exe. -Lösche sie überall wo sie gefunden wird mit Killbox. Allerdings ohne die reboot Funktion!
-Konfiguriere AntiVir aggresiv und führe einen Vollscan durch. Lösche alles was gefunden wird.
-Führe Combofix aus.
-Mache einen eScan.
-Poste das CF und eScan log ohne einen Neustart. Evtl. von einem andreen Rechner aus und warte solange im abgesicherten Modus bis wir dir posten was noch gelöscht werden muss.

Undo, lass uns bitte erst mal CF fertig machen, sonst löscht Avira ggf. Teile von CF.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Killall::

File::
C:\WINDOWS\BM19e83e09.xml
C:\WINDOWS\system32\drivers\tcpsr.sys
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\vtUmMgHY.dll
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\qoMCRlJc.dll
C:\WINDOWS\system32\cJlRCMoq.ini
C:\WINDOWS\Temp\89D.tmp
C:\WINDOWS\Temp\6565.tmp
C:\WINDOWS\Temp\9966.tmp

Folder::
C:\!KillBox

Rootkit::
C:\WINDOWS\system32\drivers\dHK68.SYS.66155351
C:\WINDOWS\system32\winwim32.dll.73019338
C:\evny.exe
C:\WINDOWS\System32\vpc32.exe

FileLook::
C:\Dokumente und Einstellungen\Jeff\setup.exe

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dhk68.sys]

Driver::
dhk68
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Dann kannst Du, wenn möglich, schon mal von einem anderen Rechner aus alls Passwörter und Zugangsdaten für alle auf dem Rechner benutzten Anwendungen ändern. Da war einiges aktiv, unter anderem ein Rbot!

Hallo Bata, hallo undo,
Danke Euch, hier die Filelist und das ComboLog:

Zitat:

Verzeichnis von C:\

25.05.2008 11:44 3.604 winzip.log
25.05.2008 11:43 13.678 ComboFix.txt
25.05.2008 11:40 402.653.184 pagefile.sys
22.05.2008 21:31 428 fpRedmon.log
19.05.2008 21:17 847 rapport.txt
17.05.2008 17:23 211 boot.ini
09.05.2008 18:24 2 450563386
15.04.2008 13:17 6.144 Thumbs.db


Verzeichnis von C:\WINDOWS\system32

22.05.2008 11:10 14.336 Thumbs.db
22.05.2008 11:08 1.066.176 MSCOMCTL.OCX
19.05.2008 21:17 0 tmp.txt
19.05.2008 21:17 3.876 tmp.reg
17.05.2008 17:18 2.262 wpa.dbl
15.05.2008 23:22 86.528 VACFix.exe
15.05.2008 19:09 0 clkcnt.txt
28.04.2008 08:03 82.944 IEDFix.exe
28.04.2008 08:03 82.944 404Fix.exe


Verzeichnis von C:\WINDOWS\Prefetch

25.05.2008 11:43 33.674 IMAPI.EXE-0BF740A4.pf
25.05.2008 11:43 18.976 NOTEPAD.EXE-336351A9.pf
25.05.2008 11:43 81.578 EXPLORER.EXE-082F38A9.pf
25.05.2008 11:43 10.696 NIRCMD.EXE-2C39EF53.pf
25.05.2008 11:43 17.068 CMD.EXE-087B4001.pf
25.05.2008 11:43 6.258 HANDLE.CFEXE-13427ED2.pf
25.05.2008 11:43 23.754 PV.CFEXE-0E6F2701.pf
25.05.2008 11:43 20.986 REGEDIT.EXE-1B606482.pf
25.05.2008 11:43 9.498 NIRCMDC.CFEXE-049E77E5.pf
25.05.2008 11:43 8.342 SWSC.CFEXE-3B4FE4FE.pf
25.05.2008 11:43 10.604 NIRCMD.CFEXE-19FF4781.pf
25.05.2008 11:43 11.128 CATCHME.CFEXE-0F2A0789.pf
25.05.2008 11:43 6.076 GREP.CFEXE-20443039.pf
25.05.2008 11:43 100.232 ERUNT.CFEXE-039977DB.pf
25.05.2008 11:42 31.210 CSCRIPT.EXE-1C26180C.pf
25.05.2008 11:42 12.578 FINDSTR.EXE-0CA6274B.pf
25.05.2008 11:42 8.134 SWREG.CFEXE-2BF4FFCD.pf
25.05.2008 11:42 8.616 MTEE.CFEXE-1E067BC7.pf
25.05.2008 11:42 5.674 VFIND.EXE-2152232B.pf
25.05.2008 11:42 24.828 COCIMANAGER.EXE-313FBACD.pf
25.05.2008 11:42 29.692 WMIPRVSE.EXE-28F301A9.pf
25.05.2008 11:42 30.840 AVWSC.EXE-2F6C3C95.pf
25.05.2008 11:42 27.068 WIFIUSB.EXE-27E8C3E0.pf
25.05.2008 11:42 14.472 CTFMON.EXE-0E17969B.pf
25.05.2008 11:42 29.472 WUAUCLT.EXE-399A8E72.pf
25.05.2008 11:42 13.110 FPASSIST.EXE-18368AA2.pf
25.05.2008 11:42 12.082 READER_SL.EXE-1EA4C8B2.pf
25.05.2008 11:42 18.170 APDPROXY.EXE-36D584F3.pf
25.05.2008 11:42 16.980 COMMUNICATIONS_HELPER.EXE-2437742E.pf
25.05.2008 11:41 9.262 HPWUSCHD2.EXE-08E18A7C.pf
25.05.2008 11:41 10.792 NWIZ.EXE-2D0F9FBC.pf
25.05.2008 11:41 901.124 NTOSBOOT-B00DFAAD.pf
25.05.2008 11:41 4.192 VFIND.CFEXE-2033727F.pf
25.05.2008 11:41 18.034 VERCLSID.EXE-3667BD89.pf
25.05.2008 11:41 5.890 SED.CFEXE-268D7E58.pf
25.05.2008 11:41 11.434 FINDSTR.CFEXE-38519B93.pf
25.05.2008 11:41 17.436 RUNDLL32.EXE-247FE6B9.pf
25.05.2008 11:41 8.050 NEROCHECK.EXE-092C6DFA.pf
25.05.2008 11:41 19.740 REGT.CFEXE-15DB5DAE.pf
25.05.2008 11:38 9.824 WSCNTFY.EXE-1B24F5EB.pf
25.05.2008 11:38 4.230 MOVEEX.CFEXE-01B74CA8.pf
25.05.2008 11:37 11.198 SPOOLSV.EXE-282F76A7.pf
25.05.2008 11:36 12.460 ATTRIB.EXE-39EAFB02.pf
25.05.2008 11:36 13.434 ROUTE.EXE-371D32DE.pf
25.05.2008 11:36 6.418 CHCP.COM-18156052.pf
25.05.2008 11:35 10.606 NIRCMD.CFEXE-02460B29.pf
25.05.2008 11:35 9.542 SWREG.CFEXE-287CC9EF.pf
25.05.2008 11:35 7.914 SWXCACLS.CFEXE-24057B3B.pf
25.05.2008 11:35 55.802 COMBOFIX.EXE-25C6B96F.pf
25.05.2008 11:35 19.500 NIRCMD.COM-223F42C3.pf
25.05.2008 11:35 5.470 GREP.CFEXE-3924CAE1.pf
25.05.2008 11:35 17.746 RUNDLL32.EXE-36E71144.pf
25.05.2008 11:33 34.106 GOOGLEUPDATER.EXE-36CE3796.pf
25.05.2008 11:27 15.964 LOGITECHUPDATE.EXE-3B93BDCC.pf
25.05.2008 11:26 73.864 FIREFOX.EXE-1D57670A.pf
25.05.2008 11:26 26.648 ALG.EXE-0F138680.pf
24.05.2008 12:44 9.948 PCANUSER.EXE-35291140.pf
24.05.2008 12:43 12.908 RUNDLL32.EXE-268BFF96.pf
24.05.2008 12:43 58.976 HIJACKTHIS.EXE-39024128.pf
24.05.2008 12:40 60.812 LOGITECHDESKTOPMESSENGER.EXE-251C7636.pf
24.05.2008 12:40 12.318 CF20693.EXE-399DF892.pf
24.05.2008 12:40 46.596 AVGNT.EXE-36CA4640.pf
24.05.2008 12:18 18.330 GUARDGUI.EXE-1BD45C30.pf
24.05.2008 11:47 170.564 HELPSVC.EXE-2878DDA2.pf
24.05.2008 11:46 335.552 Layout.ini
24.05.2008 10:26 50.710 WINWORD.EXE-259486DA.pf
24.05.2008 10:26 101.600 OUTLOOK.EXE-22C5790A.pf
23.05.2008 18:27 14.410 CWSHREDDER.EXE-18CBE825.pf
23.05.2008 18:16 31.932 SPAMIHILATOR.EXE-1E931B23.pf
23.05.2008 18:16 35.724 USERINIT.EXE-30B18140.pf
23.05.2008 18:15 19.032 RUNDLL32.EXE-4A5A9D78.pf
23.05.2008 18:15 13.514 MPNOTIFY.EXE-3631A846.pf
23.05.2008 15:44 18.526 HPQUSGL.EXE-1D5E2061.pf
23.05.2008 15:36 41.464 OSA.EXE-0082CBE3.pf
23.05.2008 15:36 2.086 OCONTROL.EXE-2E31DEE9.pf
23.05.2008 14:46 17.356 DEFRAG.EXE-273F131E.pf
23.05.2008 14:46 14.516 DFRGFAT.EXE-03D95883.pf
23.05.2008 14:42 7.282 LOGON.SCR-151EFAEA.pf
23.05.2008 14:32 8.934 SRVLNCH.EXE-06124C94.pf
23.05.2008 14:32 15.938 NVSVC32.EXE-1F9EED18.pf
23.05.2008 14:32 11.912 FXSSVC.EXE-3B8F7819.pf
23.05.2008 14:32 13.334 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
23.05.2008 14:32 19.284 CSRSS.EXE-12B63473.pf
23.05.2008 14:32 10.820 AVGUARD.EXE-3490B18B.pf
23.05.2008 14:32 17.638 SCHED.EXE-236A886F.pf
23.05.2008 14:32 8.844 LVPRCSRV.EXE-24735CEA.pf
23.05.2008 14:32 12.192 SERVICES.EXE-2F433351.pf
23.05.2008 14:32 41.596 WINLOGON.EXE-32C57D49.pf
23.05.2008 14:32 19.522 SVCHOST.EXE-3530F672.pf
23.05.2008 14:32 19.984 LSASS.EXE-20DB6D1B.pf
22.05.2008 21:32 66.466 ACRORD32.EXE-153330F0.pf
22.05.2008 21:31 29.398 GSWIN32C.EXE-02DE5EF6.pf
22.05.2008 21:31 36.488 FREEPDF.EXE-054FA9B2.pf
22.05.2008 21:31 7.456 REDRUN.EXE-0746FC9C.pf
22.05.2008 21:31 10.738 FPREDMON.EXE-04FE2A32.pf
22.05.2008 21:14 13.198 RUNDLL32.EXE-451FC2C0.pf
22.05.2008 18:30 47.748 AVNOTIFY.EXE-22AE9451.pf
22.05.2008 18:30 57.408 UPDATE.EXE-13D57D76.pf
22.05.2008 18:30 17.444 PREUPD.EXE-358AA1C1.pf
22.05.2008 18:26 34.102 ESCNDV.EXE-2FFF20EB.pf
22.05.2008 18:21 58.112 SHOWTIME.EXE-16AD542D.pf
22.05.2008 18:21 14.262 RUNDLL32.EXE-13A617B4.pf
22.05.2008 18:07 91.120 WINRAR.EXE-3588DFE8.pf
22.05.2008 17:50 26.378 RUNDLL32.EXE-2A59BF17.pf
22.05.2008 17:50 26.246 RUNDLL32.EXE-4B4C44C3.pf
22.05.2008 17:50 26.642 RUNDLL32.EXE-368C44F1.pf
22.05.2008 17:33 11.788 DCCPROC.EXE-017B284C.pf
22.05.2008 16:25 68.254 SKYPEPM.EXE-03F1BFBD.pf
22.05.2008 16:25 68.114 SKYPE.EXE-21F19BC8.pf
22.05.2008 15:24 42.240 ICLEAN.EXE-23E8AFD4.pf
22.05.2008 15:21 13.674 CHKDSK.EXE-2CC4C59D.pf
22.05.2008 11:47 13.822 DRWTSN32.EXE-2B4B52AC.pf
22.05.2008 11:43 24.140 RUNDLL32.EXE-457B6163.pf
22.05.2008 11:40 23.332 RUNDLL32.EXE-369183CA.pf
22.05.2008 11:39 23.320 RUNDLL32.EXE-427A6180.pf
22.05.2008 11:39 23.332 RUNDLL32.EXE-12C8752F.pf
22.05.2008 11:37 23.344 RUNDLL32.EXE-33F4FEF8.pf
22.05.2008 11:36 15.336 QUICKCAM10.EXE-353074FB.pf
22.05.2008 11:35 23.164 RUNDLL32.EXE-4817E635.pf
22.05.2008 11:11 23.388 KILLBOX.EXE-3A83BCDD.pf
22.05.2008 11:08 13.798 KILLBOX(2).EXE-34864B20.pf
22.05.2008 10:52 18.956 AVENGER.EXE-29ED39A0.pf
22.05.2008 10:39 37.604 RUNDLL32.EXE-13404D23.pf
21.05.2008 22:23 26.348 RUNDLL32.EXE-331781B9.pf
21.05.2008 22:18 26.396 RUNDLL32.EXE-12C25B3C.pf
21.05.2008 22:18 26.338 RUNDLL32.EXE-135DE9AD.pf
21.05.2008 18:24 74.670 MSIEXEC.EXE-2F8A8CAE.pf
17.05.2008 19:29 81.974 LUCOMS~1.EXE-3B58BA4B.pf
17.05.2008 18:12 19.428 AUPDATE.EXE-089630E1.pf
17.05.2008 18:12 26.878 NDETECT.EXE-38C3701D.pf
130 Datei(en) 4.589.474 Bytes


Verzeichnis von C:\WINDOWS

25.05.2008 11:40 246 system.ini
25.05.2008 11:40 159 wiadebug.log
25.05.2008 11:40 0 0.log
25.05.2008 11:40 2.048 bootstat.dat
25.05.2008 11:38 2.180 SchedLgU.Txt
25.05.2008 11:38 50 wiaservc.log
25.05.2008 11:38 107.267 WindowsUpdate.log
25.05.2008 11:30 1.587 setupapi.log
23.05.2008 18:31 151.242 ntbtlog.txt
22.05.2008 15:17 0 Sti_Trace.log
17.05.2008 17:23 1.011 win.ini
15.05.2008 19:11 619 BM19e83e09.txt
13.05.2008 19:03 6.058.097 REGBK00.ZIP
13.05.2008 18:58 26 Lic.xxx
15.04.2008 18:33 316.640 WMSysPr9.prx
15.04.2008 13:17 7.680 Thumbs.db


Verzeichnis von C:\WINDOWS\tasks

25.05.2008 11:40 6 SA.DAT


Verzeichnis von C:\WINDOWS\temp

---


Verzeichnis von C:\DOKUME~1\Jeff\LOKALE~1\Temp

25.05.2008 11:44 131.095 filelist.txt
25.05.2008 11:42 16.384 ~DF863A.tmp
25.05.2008 11:41 16.384 ~DF47A1.tmp

Die Logs sehen sehr gut aus. Bitte ein neues HJT Logfile und berichte wie sich Dein System verhält (Funde durch Antivir etc.).

Zitat:

Zitat von BataAlexander

Die Logs sehen sehr gut aus.

Na das ist ja schon mal eine gute Nachricht.
Bis jetzt hat sich AV nicht zu Wort gemeldet, scheint alles ruhig zu sein
wobei die winver.exe immernoch da ist, weiß nicht ob das ok ist?

Zitat:

C:\WINDOWS\system32\dllcache\winver.exe
C:\WINDOWS\$NtServicePackUninnstall$\winver.exe
C:\WINDOWS\ServicePackFiles\i386\winver.exe

Ich denke ich lasse AntiVir mal laufen, aber, vielleicht bin ich blind, wo find ich diese Einstellung?:

Zitat:

Zitat von undoreal

Konfiguriere AntiVir aggresiv und führe einen Vollscan durch. Lösche alles was gefunden wird.

ps: Ihr seid Spitze:aplaus:

Sorry, hatte in der Wohnung einen Wasserschaden mit Stromausfall und konnte deshalb den PC nicht benutzen. Hier das HJT-Log. Bisher ist alles ruhig. Ich freu mich schon fast, trau mich aber noch nicht
Was meint Ihr, bin ich sauber?

Mist, Anhang vergessen

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O15 - Trusted IP range: 206.161.125.149
O23 - Service: Workstation NetLogon Service (�%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\iexd32.exe (file missing)

dann Klicke Fix Checked. Schließe HiJackThis.

Jetzt ist Dein Rechner sauber.

Allerdings musst Du dringend die Seite Microsoft Windows Update dringend besuchen und alle verfügbaren Updates installieren!

Erledigt!
undoreal und Bata- vielen vielen Dank!
Vielleicht kann ich dem einen oder anderen von Euch auch mal beratend zur Seite stehen- Ihr findet mich bei sharkproject.org und thecanadian.de.
Aber ich vermute das ich früher oder später sowieso wieder hier aufschlagen werde/muss ;-)
Jeff
** D A N K E **