Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MS Antivir hat sich eingenistet

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.09.2008, 08:47   #1
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo,

ich habe dummerweise eine .exe Datei beim vermeintlichen Aktualisieren des FlashPlayers geöffnet. Seitdem erscheinen immer wieder Fenster im Stile vom Sicherheitscenter XP (habe selber Win2000), die mich vor Angriffen warnen. Auf dem Desktop und der Taskleiste erscheinen Symbole, die sich nur teilweise löschen lassen, aber immer wieder kommen.

Ich habe, nachdem mir Spybot und Adaware nicht weiter halfen, Malwarebytes laufen und die Ergebnisse löschen lassen. Eines sollte erst bei einem Neustart gelöscht werden. Da kamn aber die Meldung "Zugriff verweigert". Jetzt kommen die Meldungen immer hartnäckiger. Heute morgen lief ein auf Antivirenprogramm gemachtes Ding (MS Antivirus), das ich mit dem Taskmananger stoppen konnte.

Hier die Logfiles:

erstmal HijackThis von heute morgen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:55, on 05.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\kjkpgvwt.exe
C:\Programme\TEXTware\HotKey\TWALINK.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\system32\kjkpgvwt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {01E4741A-6484-9498-78DC-00FBB9716AA1} - C:\Programme\fajhsd\AplSysSrv.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [] exe
O4 - HKLM\..\Run: [wù] exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\MSA\MSA.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ShChkHlp] C:\WINNT\system32\kjkpgvwt.exe
O4 - HKCU\..\Run: [dbchk] C:\WINNT\system32\hajqfelu.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\MSA\MSA.exe
O4 - HKLM\..\Policies\Explorer\Run: [DyqekvcvSU] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133705718945
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152625534172
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

--
End of file - 6048 bytes


Und hier von Malwarebytes, nachdem es die Ergebnisse bis auf eines gestern gelöscht hatte.

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1112
Windows 5.0.2195 Service Pack 4

04.09.2008 15:08:14
mbam-log-2008-09-04 (15-08-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 96188
Laufzeit: 37 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 49

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Delete on reboot.
C:\WINNT\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\5.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc ccccccccccccccexe (Trojan.Fakealert) -> Delete on reboot.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\WINNT\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.

Ich muss jetzt leider zur Arbeit; bin ab ca 19:30 Uhr wieder online.

Alt 05.09.2008, 10:13   #2
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Peregrino und




Es wird sich wahrscheinlich um diese Datei hier handeln die nicht gelöscht werden konnte:

Code:
ATTFilter
C:\Programme\PCHealthCenter\cccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccc ccccccccccccccexe
         

Es ist aber scheinbar noch mehr im System, daher folgendes:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 05.09.2008, 15:01   #3
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

vielen Dank für den herzlichen Empfang und die wirklich super schnelle Hilfe...

Kann grad nur kurz von der Arbeit aus schreiben.

Hab mir kurz eine Anleitung für Combofix durchgelesen. Da steht, ich brauche erst eine Wiederherstellungskonsole für Win2000. Hab mal geforscht, aber nix wirklich brauchbares dazu wie man die im Ernstfall bedient Hast du da einen Link oder ähnliches??

vielen Dank
__________________

Alt 05.09.2008, 15:10   #4
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Es ist keine Pflicht diese Konsole zu nutzen, jedoch, falls etwas schief geht, ist es besser für dein System.

Hier eine Anleitung für Windows2000:

Beschreibung der Windows 2000-Wiederherstellungskonsole
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.09.2008, 19:46   #5
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

hat alles wunderbar geklappt mit dem ComboFix. Das Programm hat lediglich während des Suchlaufes zwei mal den Computer neu gestartet und es erschien mehrmals das Fenster: "creg.dat kann nicht importiert werden. Fehler beim Zugriff auf die Registrierung"

Ach ja, nach dem Neustart kam gleich wieder ein altbekanntes Fenster meines unheimlichen Gastes.

Jetzt aber das Log:

ComboFix 08-09-04.09 - Administrator 05.09.2008 19:24:07.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.692 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\1.ico
C:\Programme\PCHealthCenter\2.exe
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\2.ico
C:\Programme\PCHealthCenter\3.exe
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\7.exe
C:\Programme\PCHealthCenter\exe
C:\Programme\PCHealthCenter\sc.html
C:\WINNT\a.bat
C:\WINNT\base64.tmp
C:\WINNT\bdn.com
C:\WINNT\FVProtect.exe
C:\WINNT\iTunesMusic.exe
C:\WINNT\mslagent
C:\WINNT\mslagent\2_mslagent.dll
C:\WINNT\mslagent\mslagent.exe
C:\WINNT\mslagent\uninstall.exe
C:\WINNT\mssecu.exe
C:\WINNT\regedit.com
C:\WINNT\system32\akttzn.exe
C:\WINNT\system32\anticipator.dll
C:\WINNT\system32\awtoolb.dll
C:\WINNT\system32\bdn.com
C:\WINNT\system32\bsva-egihsg52.exe
C:\WINNT\system32\config\SAM.SAV
C:\WINNT\system32\dpcproxy.exe
C:\WINNT\system32\emesx.dll
C:\WINNT\system32\h@tkeysh@@k.dll
C:\WINNT\system32\hoproxy.dll
C:\WINNT\system32\hxiwlgpm.dat
C:\WINNT\system32\hxiwlgpm.exe
C:\WINNT\system32\medup012.dll
C:\WINNT\system32\medup020.dll
C:\WINNT\system32\msgp.exe
C:\WINNT\system32\msnbho.dll
C:\WINNT\system32\mssecu.exe
C:\WINNT\system32\msvchost.exe
C:\WINNT\system32\mtr2.exe
C:\WINNT\system32\mwin32.exe
C:\WINNT\system32\netode.exe
C:\WINNT\system32\newsd32.exe
C:\WINNT\system32\ps1.exe
C:\WINNT\system32\psof1.exe
C:\WINNT\system32\psoft1.exe
C:\WINNT\system32\regc64.dll
C:\WINNT\system32\regm64.dll
C:\WINNT\system32\rtl60.bpl
C:\WINNT\system32\Rundl1.exe
C:\WINNT\system32\smp
C:\WINNT\system32\smp\msrc.exe
C:\WINNT\system32\sncntr.exe
C:\WINNT\system32\ssurf022.dll
C:\WINNT\system32\ssvchost.com
C:\WINNT\system32\ssvchost.exe
C:\WINNT\system32\sysreq.exe
C:\WINNT\system32\taack.dat
C:\WINNT\system32\taack.exe
C:\WINNT\system32\taskmgr.com
C:\WINNT\system32\tdssl.dll
C:\WINNT\system32\temp#01.exe
C:\WINNT\system32\thun.dll
C:\WINNT\system32\thun32.dll
C:\WINNT\system32\VBIEWER.OCX
C:\WINNT\system32\vbsys2.dll
C:\WINNT\system32\vcatchpi.dll
C:\WINNT\system32\winlogonpc.exe
C:\WINNT\system32\winsystem.exe
C:\WINNT\system32\WINWGPX.EXE
C:\WINNT\userconfig9x.dll
C:\WINNT\Web\default.htt
C:\WINNT\winsystem.exe
C:\WINNT\zip1.tmp
C:\WINNT\zip2.tmp
C:\WINNT\zip3.tmp
C:\WINNT\zipped.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-05 bis 2008-09-05 ))))))))))))))))))))))))))))))
.

2008-09-04 19:30 . 08-09-04 19:30 1,220,215 --a------ C:\winlo.exe
2008-09-04 19:24 . 08-09-05 08:15 <DIR> d-------- C:\Programme\MSA
2008-09-04 19:24 . 08-09-04 19:24 <DIR> d-------- C:\Programme\fajhsd
2008-09-04 19:24 . 08-08-28 14:57 167,424 --a------ C:\WINNT\system32\MSA.cpl
2008-09-04 19:24 . 08-09-04 19:24 90,112 --a------ C:\WINNT\system32\zklgdezy.exe
2008-09-04 15:11 . 08-09-05 19:27 <DIR> d-------- C:\Programme\PCHealthCenter
2008-09-04 15:11 . 08-09-04 15:11 86,016 --a------ C:\WINNT\system32\hajqfelu.exe
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security
2008-09-04 04:27 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\2.ico
2008-09-04 04:23 . 08-09-04 04:23 102,400 --a------ C:\WINNT\system32\kjkpgvwt.exe
2008-09-04 04:23 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\1.ico
2008-09-04 01:32 . 08-09-04 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj
2008-09-04 01:32 . 08-09-04 01:32 106,496 --------- C:\WINNT\system32\xspwtizq.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{01E4741A-6484-9498-78DC-00FBB9716AA1}]
08-09-04 19:24 126976 --a------ C:\Programme\fajhsd\AplSysSrv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-08-18 18:41 1832272]
"ShChkHlp"="C:\WINNT\system32\kjkpgvwt.exe" [08-09-04 04:23 102400]
"dbchk"="C:\WINNT\system32\hajqfelu.exe" [08-09-04 15:11 86016]
"DscStrCmd"="C:\WINNT\system32\fwbuvunk.exe" [08-09-05 19:29 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"="exe" [X]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [08-04-15 18:48 579584]
"Antivirus"="C:\Programme\MSA\MSA.exe" [08-08-30 01:15 412160]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"DyqekvcvSU"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe" [08-09-04 01:32 73728]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9y9cimy9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 19:28:56
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\fwbuvunk.exe 94208 bytes executable
C:\WINNT\system32\Perflib_Perfdata_3ac.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-05 19:35:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-05 17:34:56

Pre-Run: 59,302,039,552 Bytes frei
Post-Run: 59,425,906,688 Bytes frei

207 --- E O F --- 2008-08-14 08:52:14


viele Grüße


Alt 05.09.2008, 20:24   #6
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Da steckt noch einiges ziemlich tief im System:


das bitte ausführen:



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{01E4741A-6484-9498-78DC-00FBB9716AA1}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShChkHlp"=-
"dbchk"=-
"DscStrCmd"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"DyqekvcvSU"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"gencom"=
"ccccccccccccccccccccccccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccc ccccccccccccccccccexe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccccccccccccccccccccccccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccc ccccccccccccccccccexe"=-


COLLECT::
C:\WINNT\system32\fwbuvunk.exe
C:\WINNT\system32\Perflib_Perfdata_3ac.dat
C:\winlo.exe
C:\WINNT\system32\MSA.cpl
C:\WINNT\system32\zklgdezy.exe
C:\WINNT\system32\hajqfelu.exe
C:\WINNT\system32\kjkpgvwt.exe
C:\WINNT\system32\xspwtizq.exe
C:\WINNT\system32\1.ico

FOLDER::
C:\Programme\MSA
C:\Programme\fajhsd
C:\Programme\PCHealthCenter
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
--> MS Antivir hat sich eingenistet

Alt 05.09.2008, 22:03   #7
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

hier das neue Log von ComboFix. Ich bin echt baff, wie schnell hier die Hilfe funktioniert.. Kann man euch etwas Gutes tun?? z.B. Spende oder ähnliches?

Die Meldung "creg.dat kann nicht importiert werden. Fehler beim zugriff auf die Registrierung erschien". Ebenfalls kam eine Meldung "Twatimer hat einen Fehler verursacht und wird geschlossen"

viele Grüße

ComboFix 08-09-04.09 - Administrator 05.09.2008 21:42:40.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.700 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe
C:\Programme\fajhsd
C:\Programme\fajhsd\AplSysSrv.dll
C:\Programme\MSA
C:\Programme\MSA\MSA.cpl
C:\Programme\MSA\msa0.dat
C:\Programme\MSA\msa1.dat
C:\Programme\PCHealthCenter
C:\winlo.exe
C:\WINNT\system32\1.ico
C:\WINNT\system32\fwbuvunk.exe
C:\WINNT\system32\hajqfelu.exe
C:\WINNT\system32\kjkpgvwt.exe
C:\WINNT\system32\MSA.cpl
C:\WINNT\system32\xspwtizq.exe
C:\WINNT\system32\zklgdezy.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-05 bis 2008-09-05 ))))))))))))))))))))))))))))))
.

2008-09-05 21:42 . 08-09-05 21:42 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_348.dat
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security
2008-09-04 04:27 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\2.ico

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINNT\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINNT\system32\muweb.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2008-06-25 14:30 50,688 ----a-w C:\WINNT\system32\INETRES.DLL
2008-06-25 14:30 44,032 ----a-w C:\WINNT\system32\MSIDENT.DLL
2008-06-25 14:30 229,376 ----a-w C:\WINNT\system32\MSOEACCT.DLL
2008-06-25 13:35 91,136 ----a-w C:\WINNT\system32\MSOERT2.DLL
2008-06-25 13:35 601,088 ----a-w C:\WINNT\system32\INETCOMM.DLL
2008-06-25 12:51 69,904 ----a-w C:\WINNT\system32\mscms.dll
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-20 10:15 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-08-18 18:41 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"="exe" [X]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [08-04-15 18:48 579584]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-12 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HotKey.lnk - C:\Programme\TEXTware\HotKey\TWALINK.EXE [2007-09-13 19968]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2006-01-19 315392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Antivirus - C:\Programme\MSA\MSA.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 21:44:09
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-05 21:45:26
ComboFix-quarantined-files.txt 2008-09-05 19:45:16
ComboFix2.txt 2008-09-05 17:35:01

Pre-Run: 59,455,639,552 Bytes frei
Post-Run: 59,446,575,104 Bytes frei

140 --- E O F --- 2008-08-14 08:52:14

Alt 05.09.2008, 22:12   #8
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Die Malware ist hartnäckiger als ich dachte, bitte folgende Datei überprüfen:
(sofern vorhanden!)



Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINNT\system32\Perflib_Perfdata_348.dat
C:\WINNT\system32\xspwtizq.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Außerdem ist die ccccccccccc.exe immer noch aktiv, aber darum kümmern wir uns später.

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.09.2008, 22:34   #9
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

ich kann die beiden Dateien nicht finden. Bei meinen Ordneroptionen gibt es bloß die Möglichkeit: Hidden - show all anzuklicken oder superhidden.
Versteckte systemdateien anzeigen gibt es bei mir nicht.

Wat nu??

Grüße

Alt 05.09.2008, 23:24   #10
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Die Dateien sind auf defintiv auf dem System, sie sind jedoch getarnt..

Versuch es mal so, klich den Link zu Virustotal, gehe zum Ordner C:\WINNT\system32\ hier gibst nun den Dateinamen eintippen -> Perflib_Perfdata_348.dat (auch wenn dieser nicht existiert!) -> "Sender der Datei".

Das gleiche machst du mit der anderen Datei -> C:\WINNT\system32\xspwtizq.exe
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.09.2008, 23:45   #11
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

hat nichts geholfen. Soll ich ComboFix nochmal durchlaufen lassen und den Log schicken?

Wenn der Computer nach ComboFix neu startet, meckert Spybot und fragt, ob ich die Registrieeinträge verändern möchte. Ich habe immer auf ja getippt. Liegt´s vielleicht daran?

Is schon spät. Ich melde mich morgen im Laufe des Tages wieder.

auf jeden Fall vielen Dank bis hierher

viele Grüße

Alt 06.09.2008, 11:35   #12
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Sorry, das hab ich selbst total übersehen mit Spybot, bitte deaktiviere den Tea Timer bis auf weiteres, und lass dann nochmal Combofix durchlaufen!

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 06.09.2008, 14:26   #13
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

hier der aktuelle Logfile von ComboFix. Es kam wieder die Meldung "creg.dat kann nicht importiert werden Zugriff auf Registrierung verweigert"

ComboFix 08-09-05.02 - Administrator 06.09.2008 14:13:15.3 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.718 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-06 14:13 . 08-09-06 14:13 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_36c.dat
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security
2008-09-04 04:27 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\2.ico

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINNT\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINNT\system32\muweb.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2008-06-25 14:30 50,688 ----a-w C:\WINNT\system32\INETRES.DLL
2008-06-25 14:30 44,032 ----a-w C:\WINNT\system32\MSIDENT.DLL
2008-06-25 14:30 229,376 ----a-w C:\WINNT\system32\MSOEACCT.DLL
2008-06-25 13:35 91,136 ----a-w C:\WINNT\system32\MSOERT2.DLL
2008-06-25 13:35 601,088 ----a-w C:\WINNT\system32\INETCOMM.DLL
2008-06-25 12:51 69,904 ----a-w C:\WINNT\system32\mscms.dll
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-20 10:15 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"="exe" [X]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-12 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HotKey.lnk - C:\Programme\TEXTware\HotKey\TWALINK.EXE [2007-09-13 19968]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2006-01-19 315392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9y9cimy9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 14:15:19
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 14:17:12
ComboFix-quarantined-files.txt 2008-09-06 12:16:42
ComboFix2.txt 2008-09-05 19:45:26
ComboFix3.txt 2008-09-05 17:35:01

Pre-Run: 59,572,494,336 Bytes frei
Post-Run: 59,563,094,016 Bytes frei

121 --- E O F --- 2008-08-14 08:52:14


viele Grüße

Alt 06.09.2008, 18:40   #14
Sunny
Administrator
> Competence Manager
 

MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Ok, versuchen wir es nochmal die restlichen Dateien vom System zu putzen!


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"=-
"gencom"=-
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=-


FILE::
C:\WINNT\system32\Perflib_Perfdata_36c.dat
C:\WINNT\system32\2.ico
ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 06.09.2008, 23:02   #15
Peregrino
 
MS Antivir hat sich eingenistet - Standard

MS Antivir hat sich eingenistet



Hallo Sunny,

hier der neuerliche Log von ComboFix:

ComboFix 08-09-05.02 - Administrator 06.09.2008 22:45:15.4 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.724 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\system32\2.ico

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINNT\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINNT\system32\muweb.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2008-06-25 14:30 50,688 ----a-w C:\WINNT\system32\INETRES.DLL
2008-06-25 14:30 44,032 ----a-w C:\WINNT\system32\MSIDENT.DLL
2008-06-25 14:30 229,376 ----a-w C:\WINNT\system32\MSOEACCT.DLL
2008-06-25 13:35 91,136 ----a-w C:\WINNT\system32\MSOERT2.DLL
2008-06-25 13:35 601,088 ----a-w C:\WINNT\system32\INETCOMM.DLL
2008-06-25 12:51 69,904 ----a-w C:\WINNT\system32\mscms.dll
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-20 10:15 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot@Fr 2008-09-05_19.34.38.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-06 20:51:10 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_53c.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 22:49:48
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\Perflib_Perfdata_53c.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 22:55:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-06 20:55:36
ComboFix2.txt 2008-09-06 12:17:13
ComboFix3.txt 2008-09-05 19:45:26
ComboFix4.txt 2008-09-05 17:35:01

Pre-Run: 59,574,910,976 Bytes frei
Post-Run: 59,565,629,440 Bytes frei

116 --- E O F --- 2008-08-14 08:52:14


einen schönen Abend

Antwort

Themen zu MS Antivir hat sich eingenistet
.exe datei, 1.exe, adobe, alert, antivir, antivirus, bho, desktop, drivers, einstellungen, explorer, fake.dropped.malware, firefox, helper, hijack, hijackthis, immer wieder, internet, internet explorer, malware.trace, mozilla, mozilla firefox, neustart, pdf, pdfcreator, programm, quara, registrierungsschlüssel, server, software, system, systemcheck, taskleiste, temp, trojan.clicker, windows, zugriff verweigert



Ähnliche Themen: MS Antivir hat sich eingenistet


  1. pup.optional.Astromenda hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 07.03.2015 (13)
  2. advanced system protector hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 18.02.2014 (19)
  3. 2x | QV06.com hat sich bei mir eingenistet
    Mülltonne - 03.09.2013 (2)
  4. Trojaner searchnu hat sich eingenistet
    Log-Analyse und Auswertung - 08.11.2012 (12)
  5. loaupdt.jpg hat sich bei mir eingenistet
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (1)
  6. searchnu/406 hat sich eingenistet
    Log-Analyse und Auswertung - 15.04.2012 (1)
  7. searchnu hat sich als Startseite eingenistet
    Log-Analyse und Auswertung - 22.03.2012 (5)
  8. newporto.cn hat sich bei mir eingenistet :(
    Plagegeister aller Art und deren Bekämpfung - 11.09.2010 (19)
  9. TAN-Banker-trojaner hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  10. MS Antivirus hat sich eingenistet
    Log-Analyse und Auswertung - 04.10.2008 (8)
  11. www.search-daily.com hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 17.10.2007 (2)
  12. Es hat sich etwas eingenistet... Log Überprüfung bitte !
    Log-Analyse und Auswertung - 28.09.2005 (10)
  13. Hilfe Azesearch hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (4)
  14. ICKiller hat sich auf meinem Rechner eingenistet
    Plagegeister aller Art und deren Bekämpfung - 02.04.2005 (6)
  15. AZEsearch hat sich eingenistet! Wie bekomme ich ihn weg?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2005 (3)
  16. Azesearch Toolbar hat sich eingenistet
    Plagegeister aller Art und deren Bekämpfung - 13.03.2005 (13)
  17. Da hat sich jemand eingenistet!!!
    Log-Analyse und Auswertung - 08.12.2004 (6)

Zum Thema MS Antivir hat sich eingenistet - Hallo, ich habe dummerweise eine .exe Datei beim vermeintlichen Aktualisieren des FlashPlayers geöffnet. Seitdem erscheinen immer wieder Fenster im Stile vom Sicherheitscenter XP (habe selber Win2000), die mich vor Angriffen - MS Antivir hat sich eingenistet...
Archiv
Du betrachtest: MS Antivir hat sich eingenistet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.