Virus: Win32:Rootkit-gen [Rtk]

Schnitzel07 · 23.05.2008, 15:19

Hoffe das ist nun richtig

ComboFix 08-05-21.3 - Mustermann 2008-05-23 16:11:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.274 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-23 bis 2008-05-23 ))))))))))))))))))))))))))))))
.

2008-05-23 16:06 . 2008-05-23 16:06 <DIR> d-------- C:\Programme\CCleaner
2008-05-23 13:27 . 2008-05-23 13:27 <DIR> d-------- C:\Deckard
2008-05-20 15:24 . 2008-05-20 15:44 <DIR> d-------- C:\Programme\Spyware Doctor
2008-05-20 15:24 . 2008-05-20 15:24 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PC Tools
2008-05-20 15:24 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-05-20 15:24 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-05-20 15:24 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-05-20 15:24 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-14 16:41 . 2007-01-26 01:00 4,352 --a------ C:\WINDOWS\system32\drivers\avmeject.sys
2008-05-14 16:40 . 2008-05-14 16:41 <DIR> d-------- C:\WINDOWS\AVM_Driver
2008-05-14 16:40 . 2008-05-14 16:40 <DIR> d-------- C:\Programme\avmwlanstick
2008-05-14 16:40 . 2008-05-14 16:40 <DIR> d-------- C:\Dokumente und Einstellungen\****\AVM_Driver
2008-05-14 16:40 . 2007-01-26 01:00 265,088 --a------ C:\WINDOWS\system32\drivers\fwlanusb.sys
2008-05-14 16:40 . 2007-01-26 01:00 97,360 --a------ C:\WINDOWS\system32\drivers\Fwusb1b.bin
2008-05-14 16:40 . 2007-01-26 01:00 74,752 --a------ C:\WINDOWS\system32\fwlanci.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 14:05 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-23 13:50 --------- d-----w C:\Programme\mIRC
2008-05-23 12:33 --------- d-----w C:\Programme\PartyGaming
2008-05-23 11:59 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-22 19:49 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\mIRC
2008-05-22 19:05 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\teamspeak2
2008-05-08 19:39 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype
2008-05-04 20:02 --------- d-----w C:\Programme\eMule
2008-04-18 12:50 --------- d-----w C:\Programme\ICQ6
2008-04-17 12:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-14 16:42 46,536 ----a-w C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-04-14 16:42 32,200 ----a-w C:\WINDOWS\system32\drivers\HookCentre.sys
2008-04-09 13:54 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SpeedSim
2008-04-09 13:50 --------- d-----w C:\Programme\SpeedSim
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2002-08-28 14:43 73728 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 15:05 508416 C:\WINDOWS\mHotkey.exe]
"GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2008-02-07 12:59 1193648]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2008-02-11 13:28 603720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 17:26 283136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
G DATA Firewall Tray.lnk - C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [2007-11-26 19:05:17 1193648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,c:\\programme\\g data internetsecurity\\avkkid\\avkcks.exe"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^desktop(2).ini]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop(2).ini
backup=C:\WINDOWS\pss\desktop(2).iniCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^G DATA Firewall Tray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\G DATA Firewall Tray.lnk
backup=C:\WINDOWS\pss\G DATA Firewall Tray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Printkey2000.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk
backup=C:\WINDOWS\pss\Printkey2000.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen*****Startmenü^Programme^Autostart^desktop(2).ini]
path=C:\Dokumente und Einstellungen\******\Startmenü\Programme\Autostart\desktop(2).ini
backup=C:\WINDOWS\pss\desktop(2).iniStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM]
--a------ 2006-08-01 16:35 67112 C:\Programme\AIM\aim.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVKTray]
--a------ 2008-02-11 13:28 603720 C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
-r------- 2006-03-28 15:48 622592 C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
--a------ 2008-03-25 11:48 906480 C:\Programme\CCleaner\ccleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
--------- 2006-04-10 14:58 61440 C:\Programme\Brother\ControlCenter3\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2007-01-23 09:06 204843 C:\PROGRA~1\INCRED~1\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock]
C:\Programme\RocketDock\RocketDock.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--a------ 2005-01-26 18:02 49152 C:\Programme\Brother\Brmfl06a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"F-Secure Network Request Broker"=3 (0x3)
"BackWeb Client - 7681197"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"ViewMgr"=C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Aim Remixed 3.0\\Aim Remixed.exe"=
"C:\\Programme\\AIM\\AIM95_c0\\aim.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\AIM\\aim.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2007-11-26 19:05]
R2 AVKProxy;G DATA AntiVirus Proxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2008-02-19 11:45]
R2 AVKService;G DATA Scheduler;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2008-02-07 05:26]
R2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2008-02-05 12:26]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2007-11-26 19:05]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-09-21 12:24]
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-12-12 12:28]
R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-04-14 18:42]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-04-14 18:42]
R3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 19:04]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-01-26 01:00]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 12:50]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-01-26 01:00]
S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 18:13]
S4 BackWeb Client - 7681197;F-Secure Automatic Update;C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bebb1d0-4713-11db-b538-000c76739abf}]
\Shell\AutoRun\command - K:\LaunchU3.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.***.net
Rootkit scan 2008-05-23 16:14:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-23 16:15:15
ComboFix-quarantined-files.txt 2008-05-23 14:15:00

12 Verzeichnis(se), 102,237,966,336 Bytes frei
16 Verzeichnis(se), 102,241,570,816 Bytes frei

164 --- E O F --- 2007-11-26 22:36:45

Schnitzel07 · 25.05.2008, 13:51

-- Application Event Log -------------------------------------------------------

Event Record #/Type2376 / Error
Event Submitted/Written: 05/25/2008 06:21:49 AM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung aim.exe, Version 5.9.6089.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x1221254f.
Das medienspezifische Ereignis für [aim.exe!ws!] wird verarbeitet.

Event Record #/Type2214 / Error
Event Submitted/Written: 05/19/2008 11:07:13 PM
Event ID/Source: 0 / pctsSvc.exe
Event Description:
Der Dienstprozess konnte keine Verbindung zum Dienstcontroller herstellen

Event Record #/Type2209 / Error
Event Submitted/Written: 05/19/2008 10:10:34 PM
Event ID/Source: 11 / crypt32
Event Description:
Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <h**p://www.download.Mustermann.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Event Record #/Type2208 / Error
Event Submitted/Written: 05/19/2008 10:10:23 PM
Event ID/Source: 8 / crypt32
Event Description:
Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h**p://www.download.Mustermann.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben.
.

Event Record #/Type2207 / Error
Event Submitted/Written: 05/19/2008 10:10:08 PM
Event ID/Source: 11 / crypt32
Event Description:
Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.Mustermann.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type224443 / Warning
Event Submitted/Written: 05/25/2008 06:22:06 AM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Event Record #/Type224045 / Warning
Event Submitted/Written: 05/22/2008 09:46:11 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Event Record #/Type224044 / Warning
Event Submitted/Written: 05/22/2008 06:48:27 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Event Record #/Type224043 / Warning
Event Submitted/Written: 05/22/2008 05:47:36 PM
Event ID/Source: 36 / W32Time
Event Description:
Der Zeitdienst konnte die Systemzeit seit 49152 Sekunden nicht
synchronisieren, da kein Zeitanbieter einen gültigen Zeitstempel
anbieten konnte. Die Systemuhr ist nicht synchronisiert.

Event Record #/Type223931 / Error
Event Submitted/Written: 05/20/2008 03:26:43 PM
Event ID/Source: 7034 / Service Control Manager
Event Description:
Dienst "PC Tools Auxiliary Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

-- End of Deckard's System Scanner: finished at 2008-05-25 14:03:28 ------------

markusg · 24.05.2008, 16:58

* Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
www.malwarebytes.org/mbam.php - 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.