HEUR/Malware in versiond.dll

dermoo · 11.11.2008, 20:31

hallo.

ich hab da ein ähnliches problem.
aber bei mir handelt es sich um die datei winsrv32.dll

nachdem ich die datei geschätzte 100 mal in die quarantäne verschoben hatte, hab ich heute mal gegenmaßnahmen eingeleitet. leider bin ich nicht so erfahren auf dem gebiet.

aber erst noch: das ganze fing vor 5 tagen an, erst als meldung HEUR/Maleware, heute wurde das ganze (nachm antivir update) zu einem TR/Hijack.AE1

jedenfalls hab ich mir das programm Spybot und das programm a-squared runtergeladen und durchlaufen lassen.
bei beiden wurde der trojaner mehrmals erkannt, und am ende auch gelöscht.

nun das was ich nicht verstehe:
wenn ich jetzt das spybot erneut durchlaufen lasse, bekomme ich zwischendurch die antivir meldung, "antivir guard - achtung fund" mit den üblichen optionen quarantäne, löschen usw. bin dann immer auf löschen gegangen. jedoch sagte mir dann spyware nach dem suchlauf, dass ich keine trojaner drauf habe.
warum bekomm ich dann mit jedem suchlauf wieder diese meldungen?

naja, dann hab ich nochmal antivir ne systemprüfung machen lassen.
auch dort hat antivir die datei nochmals gefunden, und dann scheinbar halbwegs ordentlich entfehrnt.

im bericht stand dann folgendes:

[quote]Die Datei 'C:\ARK7.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Hijack.AE.1' [trojan].
Durchgeführte Aktion(en):
Die Datei konnte nicht gelöscht werden!
Systemfehler [32]: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
Die Datei wurde gelöscht.[/qoute]

und tata, die anderen beiden programme meckern nicht mehr über die winsrv32 datei.

aaaber, scheinbar hat antivir das ganze nur verplanzt.
denn nun hab ich direkt auf C:\ die datei: ARK33.tmp
wenn ich diese anklicke, bekomme ich erneut antivir meldung. dann geh ich auf zugriff verweigern und lasse die finger davon.
jedenfalls finden nun die beiden spyware programme auch nichts mehr.

sry dass das ganze etwas wirr beschrieben ist, aber wie gesagt, bin laie auf dem gebiet

was soll ich jetzt tun? ist die neuaufsetzung des systems unausweichlich?
vllt noch wichtig zu wissen - der rechner ist erst 3 wochen alt.

dann noch eine andere etwas ot frage:
ich habe beim spybot wie empfohlen alles immunisiert. seit dem sind meine möglichkeiten im browser irgendwie eingeschränkt

kann zB hier nicht einfach den text markieren und auf zitat gehen. muss das [ quote ] usw alles von hand schreiben. auch smileys lassen sich nicht wie gewohnt durch anklicken einfügen.

naja, hoffe ihr könnt mir irgendwie weiterhelfen.

gruß, dermoo

Naji · 12.11.2008, 19:58

Code:

ATTFilter

ComboFix 08-11-11.01 - XXX 2008-11-12 19:47:43.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.724 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-12 bis 2008-11-12  ))))))))))))))))))))))))))))))
.

2008-11-12 16:12 . 2008-11-12 16:12	<DIR>	d--------	c:\programme\SweetIM
2008-11-12 16:12 . 2008-11-12 16:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2008-11-12 09:37 . 2008-10-24 12:10	453,632	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 09:36 . 2008-09-04 17:43	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll
2008-11-11 18:15 . 2008-11-11 18:15	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-11 18:15 . 2008-11-11 18:15	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-11-11 18:15 . 2008-11-11 18:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-11 18:15 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-11 18:15 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-11 17:20 . 2008-11-11 17:20	19,456	--a------	c:\windows\system32\versiond.dll
2008-11-10 19:55 . 2008-10-31 18:25	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Vorlagen
2008-11-10 19:55 . 2008-10-31 18:11	<DIR>	dr-------	c:\dokumente und einstellungen\Boss\Startmenü
2008-11-10 19:55 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Netzwerkumgebung
2008-11-10 19:55 . 2008-11-12 19:48	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Lokale Einstellungen
2008-11-10 19:55 . 2008-11-10 19:55	<DIR>	dr-------	c:\dokumente und einstellungen\Boss\Favoriten
2008-11-10 19:55 . 2008-11-10 19:55	<DIR>	dr-------	c:\dokumente und einstellungen\Boss\Eigene Dateien
2008-11-10 19:55 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\Boss\Druckumgebung
2008-11-10 19:55 . 2008-11-12 18:39	<DIR>	dr-h-----	c:\dokumente und einstellungen\Boss\Anwendungsdaten
2008-11-10 19:55 . 2008-11-10 19:55	<DIR>	d--------	c:\dokumente und einstellungen\Boss
2008-11-10 18:09 . 2008-11-10 18:09	<DIR>	d--------	c:\programme\CCleaner
2008-11-10 18:08 . 2008-11-10 18:08	893,096	--a------	c:\dokumente und einstellungen\All Users\ccsetup213_slim.exe
2008-11-09 21:58 . 2008-11-09 21:58	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Zylom
2008-11-09 21:58 . 2008-11-09 21:58	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\BloodTies
2008-11-09 21:58 . 2008-11-09 21:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom
2008-11-09 21:57 . 2008-11-09 21:57	<DIR>	d--------	c:\programme\Zylom Games
2008-11-09 13:57 . 2008-11-10 13:19	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2008-11-09 13:46 . 2008-11-09 13:46	<DIR>	d--------	C:\WAVTOMP3
2008-11-09 13:10 . 2008-11-09 13:10	<DIR>	d--------	c:\programme\CDBurnerXP
2008-11-09 13:10 . 2008-11-09 13:10	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Canneverbe_Limited
2008-11-05 18:38 . 2008-11-05 18:38	2,422	--a------	c:\windows\system32\wpa.bak
2008-11-05 13:26 . 2004-08-03 23:08	31,616	--a------	c:\windows\system32\drivers\usbccgp.sys
2008-11-05 13:26 . 2004-08-03 23:08	31,616	--a--c---	c:\windows\system32\dllcache\usbccgp.sys
2008-11-05 11:31 . 2008-11-05 11:31	<DIR>	d--------	c:\programme\Winamp Toolbar
2008-11-05 11:31 . 2008-11-05 11:31	<DIR>	d--------	c:\programme\Winamp Remote
2008-11-05 11:31 . 2008-11-05 11:31	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-11-05 11:31 . 2008-11-05 11:32	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-11-05 11:29 . 2008-11-05 11:31	<DIR>	d--------	c:\programme\Winamp
2008-11-05 11:29 . 2008-11-05 14:45	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2008-11-05 11:10 . 2008-11-05 11:10	<DIR>	d--------	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-05 11:10 . 2008-11-05 11:10	<DIR>	d--------	c:\programme\DVDVideoSoft
2008-11-05 11:10 . 2008-11-12 17:56	<DIR>	d--------	C:\DVDVideoSoft
2008-11-05 11:10 . 2002-01-05 15:37	344,064	--a------	c:\windows\system32\msvcr70.dll
2008-11-03 18:14 . 2004-08-04 00:57	221,184	--a------	c:\windows\system32\wmpns.dll
2008-11-03 18:12 . 2008-10-03 17:58	6,066,176	-----c---	c:\windows\system32\dllcache\ieframe.dll
2008-11-03 18:12 . 2007-04-17 10:32	2,455,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dat
2008-11-03 18:12 . 2007-03-08 06:09	1,040,384	-----c---	c:\windows\system32\dllcache\ieframe.dll.mui
2008-11-03 18:12 . 2008-08-26 08:57	459,264	-----c---	c:\windows\system32\dllcache\msfeeds.dll
2008-11-03 18:12 . 2008-08-26 08:57	383,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dll
2008-11-03 18:12 . 2008-08-26 08:57	267,776	-----c---	c:\windows\system32\dllcache\iertutil.dll
2008-11-03 18:12 . 2008-08-26 08:57	63,488	-----c---	c:\windows\system32\dllcache\icardie.dll
2008-11-03 18:12 . 2008-08-26 08:57	52,224	-----c---	c:\windows\system32\dllcache\msfeedsbs.dll
2008-11-03 18:12 . 2008-08-25 09:38	13,824	-----c---	c:\windows\system32\dllcache\ieudinit.exe
2008-11-03 18:11 . 2008-11-03 18:13	<DIR>	d--------	c:\windows\system32\de-de
2008-11-03 18:08 . 2007-08-13 18:54	33,792	--a--c---	c:\windows\system32\dllcache\custsat.dll
2008-11-03 18:03 . 2008-11-03 18:03	<DIR>	d--hs----	c:\dokumente und einstellungen\XXX\UserData
2008-11-03 17:06 . 2008-11-03 18:03	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Contacts
2008-11-03 17:04 . 2008-11-03 17:04	<DIR>	d--------	c:\programme\Microsoft SQL Server Compact Edition
2008-11-03 17:03 . 2008-11-03 17:04	<DIR>	d--------	c:\programme\Windows Live Toolbar
2008-11-03 17:03 . 2008-11-03 17:03	<DIR>	d--------	c:\programme\Windows Live Favorites
2008-11-03 16:56 . 2008-11-03 16:56	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\MSN6
2008-11-03 16:56 . 2008-11-03 16:56	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2008-11-02 17:22 . 2008-11-02 17:22	<DIR>	d--------	c:\programme\Sun
2008-11-02 17:22 . 2008-11-02 17:21	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-02 17:22 . 2008-11-02 17:21	73,728	--a------	c:\windows\system32\javacpl.cpl
2008-11-02 17:21 . 2008-11-02 17:21	<DIR>	d--------	c:\programme\Java
2008-11-02 16:13 . 2008-11-11 20:16	<DIR>	d--------	c:\programme\Warcraft III
2008-11-01 18:08 . 2007-07-30 19:19	271,224	--a------	c:\windows\system32\mucltui.dll
2008-11-01 18:08 . 2007-07-30 19:19	207,736	--a------	c:\windows\system32\muweb.dll
2008-11-01 18:08 . 2007-07-30 19:18	30,072	--a------	c:\windows\system32\mucltui.dll.mui
2008-11-01 16:52 . 2008-10-31 18:25	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Vorlagen
2008-11-01 16:52 . 2008-10-31 18:11	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Startmenü
2008-11-01 16:52 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Netzwerkumgebung
2008-11-01 16:52 . 2008-11-12 19:48	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Lokale Einstellungen
2008-11-01 16:52 . 2008-11-06 13:43	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Favoriten
2008-11-01 16:52 . 2008-11-06 13:43	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Eigene Dateien
2008-11-01 16:52 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Druckumgebung
2008-11-01 16:52 . 2008-11-01 16:54	<DIR>	dr-h-----	c:\dokumente und einstellungen\XXX\Anwendungsdaten
2008-11-01 16:52 . 2008-11-10 18:11	<DIR>	d--------	c:\dokumente und einstellungen\XXX
2008-11-01 15:47 . 2008-11-01 15:48	<DIR>	d--------	c:\programme\PopCap Games
2008-11-01 15:47 . 2008-11-01 16:08	16	--a------	c:\windows\popcinfot.dat
2008-11-01 15:47 . 2008-11-01 15:47	0	--a------	c:\windows\popcreg.dat
2008-11-01 12:18 . 2008-11-01 12:18	<DIR>	d--------	c:\programme\Warkeys
2008-11-01 12:16 . 2008-11-01 12:16	<DIR>	d--------	c:\windows\Logs
2008-11-01 12:15 . 2008-11-01 12:16	<DIR>	d--------	C:\DirectX 9 c
2008-11-01 11:56 . 2008-11-02 17:48	150,758	--a------	c:\windows\War3Unin.dat
2008-11-01 11:56 . 2008-11-02 16:22	139,264	--a------	c:\windows\War3Unin.exe
2008-11-01 11:56 . 2008-11-02 16:22	2,829	--a------	c:\windows\War3Unin.pif
2008-11-01 11:48 . 2008-11-01 21:07	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-11-01 11:44 . 2008-11-01 11:44	<DIR>	d--------	c:\windows\Downloaded Installations
2008-11-01 11:44 . 2008-11-01 11:44	<DIR>	d--------	c:\programme\Broadcom
2008-11-01 11:43 . 2008-11-01 11:43	<DIR>	d--------	c:\programme\Intel
2008-11-01 11:41 . 2008-11-01 11:41	<DIR>	d--------	C:\dell
2008-11-01 11:41 . 2002-11-15 11:14	5	--a------	c:\windows\system32\drivers\DELL_DIM_5000.MRK
2008-11-01 11:41 . 2002-11-15 11:14	5	--a------	c:\windows\system32\drivers\1028_DELL_DIM_5000.MRK
2008-11-01 11:03 . 2008-11-01 11:04	<DIR>	d--------	c:\programme\Messenger Plus! Live
2008-11-01 11:01 . 2008-11-01 11:16	<DIR>	d--------	c:\windows\system32\CatRoot_bak
2008-11-01 11:00 . 2008-08-14 14:42	2,138,624	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-01 11:00 . 2008-08-28 11:04	333,056	-----c---	c:\windows\system32\dllcache\srv.sys
2008-11-01 11:00 . 2008-06-14 18:57	273,024	-----c---	c:\windows\system32\dllcache\bthport.sys
2008-11-01 11:00 . 2008-08-14 10:51	138,368	-----c---	c:\windows\system32\dllcache\afd.sys
2008-11-01 10:59 . 2008-08-14 14:42	2,182,656	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-01 10:59 . 2008-08-14 14:42	2,060,032	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-01 10:59 . 2008-08-14 14:42	2,018,304	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-01 10:59 . 2008-09-15 16:37	1,846,144	-----c---	c:\windows\system32\dllcache\win32k.sys
2008-11-01 10:59 . 2008-04-11 19:50	683,520	-----c---	c:\windows\system32\dllcache\inetcomm.dll
2008-11-01 10:59 . 2008-05-01 15:30	331,776	-----c---	c:\windows\system32\dllcache\msadce.dll
2008-11-01 10:58 . 2008-11-01 10:58	<DIR>	d---s----	c:\dokumente und einstellungen\XXX\UserData
2008-11-01 10:58 . 2008-10-15 17:57	332,800	-----c---	c:\windows\system32\dllcache\netapi32.dll
2008-10-31 21:29 . 2008-11-12 12:48	<DIR>	d--h-----	c:\windows\$hf_mig$
2008-10-31 21:15 . 2008-10-31 21:15	<DIR>	d--------	c:\programme\ICQ6Toolbar
2008-10-31 21:15 . 2008-10-31 21:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-10-31 21:14 . 2008-10-31 21:18	<DIR>	d--------	c:\programme\ICQ6
2008-10-31 21:14 . 2008-10-31 21:18	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ
2008-10-31 21:03 . 2008-10-31 18:25	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Vorlagen
2008-10-31 21:03 . 2008-10-31 18:11	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Startmenü
2008-10-31 21:03 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Netzwerkumgebung
2008-10-31 21:03 . 2008-11-12 19:48	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Lokale Einstellungen
2008-10-31 21:03 . 2008-11-03 18:12	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Favoriten
2008-10-31 21:03 . 2008-11-03 18:12	<DIR>	dr-------	c:\dokumente und einstellungen\XXX\Eigene Dateien
2008-10-31 21:03 . 2008-10-31 18:11	<DIR>	d--h-----	c:\dokumente und einstellungen\XXX\Druckumgebung
2008-10-31 21:03 . 2008-11-09 21:58	<DIR>	dr-h-----	c:\dokumente und einstellungen\XXX\Anwendungsdaten
2008-10-31 21:03 . 2008-11-12 18:03	<DIR>	d-a------	c:\dokumente und einstellungen\XXX
2008-10-31 20:53 . 2008-11-01 10:57	<DIR>	d--------	c:\dokumente und einstellungen\XXX\Contacts
2008-10-31 20:46 . 2008-11-03 20:39	<DIR>	d--------	c:\programme\Windows Live
2008-10-31 20:46 . 2008-10-31 20:51	<DIR>	d--hsc---	c:\programme\Gemeinsame Dateien\WindowsLiveInstaller

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-07 20:31	1,538,560	----a-w	c:\windows\Internet Logs\xDB2.tmp
2008-11-01 10:44	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-01 10:44	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-10-31 19:35	409,600	----a-w	c:\windows\system32\wrap_oal.dll
2008-10-31 19:35	114,688	----a-w	c:\windows\system32\OpenAL32.dll
2008-10-31 18:21	36,352	----a-w	c:\windows\Internet Logs\xDB1.tmp
2008-10-31 18:20	---------	d-----w	c:\programme\Avira
2008-10-31 18:20	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-10-31 18:14	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-10-31 18:13	---------	d-----w	c:\programme\Zone Labs
2008-10-31 18:12	---------	d-----w	c:\programme\Opera
2008-10-31 18:06	21,419	----a-w	c:\windows\system32\drivers\AegisP.sys
2008-10-31 18:06	---------	d-----w	c:\programme\Hama
2008-10-31 17:28	---------	d-----w	c:\programme\microsoft frontpage
2008-10-31 17:27	---------	d-----w	c:\programme\Online-Dienste
2008-10-31 17:26	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-10-24 11:10	453,632	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-09-15 15:37	1,846,144	----a-w	c:\windows\system32\win32k.sys
2008-09-04 16:43	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-26 07:57	826,368	----a-w	c:\windows\system32\wininet.dll
2008-08-14 13:42	2,138,624	----a-w	c:\windows\system32\ntoskrnl.exe
2008-08-14 13:42	2,018,304	----a-w	c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22	1172792	--a------	c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-11-11 7311360]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-11-11 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-02 136600]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-08-04 36352]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2008-10-08 111928]
"nwiz"="nwiz.exe" [2005-11-11 c:\windows\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 c:\windows\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2008-10-31 1122304]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-05-09 45376]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-12 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MsnMsgr - ~c:\programme\Windows Live\Messenger\MsnMsgr.Exe


.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKLM-Main,Start Page = hxxp://home.sweetim.com
O8 -: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
O8 -: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 19:48:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  MsnMsgr = ~"c:\programme\Windows Live\Messenger\MsnMsgr.Exe" /background? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-12 19:49:21
ComboFix-quarantined-files.txt  2008-11-12 18:49:19

Vor Suchlauf: 13 Verzeichnis(se), 106,718,412,800 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 106,735,964,160 Bytes frei

231	--- E O F ---	2008-11-12 11:49:45

Nu is die Datei wieder aus dem Stammverzeichnis raus ._.'

edit: nur die versiond.dll ist nachwievor im sys32 ordner.

cosinus · 12.11.2008, 20:07

Benenn diese versiond.dll in system32 doch einfach mal um in versiond.dll.vir oder sowas. So ist sie entschärft aber noch nicht gelöscht.

Naji · 12.11.2008, 20:40

Zitat:

Zitat von root24

Benenn diese versiond.dll in system32 doch einfach mal um in versiond.dll.vir oder sowas. So ist sie entschärft aber noch nicht gelöscht.

Done~ oo

Aufjedenfall macht Antivir keine Mucken mehr =O

Naji · 14.11.2008, 16:58

Bring
Up
My
Post

SP3 is drauf, die versiond.dll hab ich nu auch mit antivir gelöscht, und die datei aus dem Stammverzeichnis is auch weg.
heißt das alles ist in ordnung? oo

cosinus · 14.11.2008, 18:28

Zitat:

Zitat von Naji

...heißt das alles ist in ordnung? oo

Garantieren kann und will ich das nicht. Aber wenn Dein System wieder normal läuft offensichtlich

Falls die Tage /Wochen wieder was auffällt, dann melde es hier.

Naji · 15.11.2008, 12:45

Alles klar, und danke für die schnelle Hilfe.
Zur Zeit läuft alles wieder einwandfrei.

Und das mit dem wieder melde, naja hoffen wir mal nicht das es wieder nötig sein wird =D

Nochmal danke root24~

So far~ Naji

12.11.2008, 20:07	#3
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	HEUR/Malware in versiond.dll Benenn diese versiond.dll in system32 doch einfach mal um in versiond.dll.vir oder sowas. So ist sie entschärft aber noch nicht gelöscht. __________________ __________________

HEUR/Malware in versiond.dll

Plagegeister aller Art und deren Bekämpfung: HEUR/Malware in versiond.dll