vshost.exe konnte nicht gefunden werden / mehrere Trojaner / Worm.Agent.W45

anschaa · 18.02.2009, 20:28

hallo,

also ich hab anscheinend mehrere Trojaner, einen Wurm, und neuerdings kann ich auf C: nicht mehr zugreifen; es erscheint der Fehler: vshost.exe konnte nicht gefunden werden.

Hab schon mit Malwarebytes und CCleaner probiert die Probleme zu lösen, aber die Trojaner und der Wurm erscheinen immer wieder. Das mit der Festplatte is mir erst gestern aufgefallen.

Hier der Bericht von Antivir von gestern:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 16. Februar 2009 21:08

Es wird nach 1245161 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***********

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:50:11
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 17:50:12
ANTIVIR3.VDF : 7.1.2.25 65536 Bytes 13.02.2009 17:50:13
Engineversion : 8.2.0.79
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 15:06:27
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 13.02.2009 17:50:23
AESCN.DLL : 8.1.1.7 127347 Bytes 13.02.2009 17:50:20
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.03.2009 18:30:32
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 24.01.2009 17:00:44
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 04.03.2009 18:30:30
AEHELP.DLL : 8.1.2.0 119159 Bytes 24.01.2009 17:00:42
AEGEN.DLL : 8.1.1.16 332148 Bytes 13.02.2009 17:50:19
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.5 176501 Bytes 13.02.2009 17:50:15
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 16. Februar 2009 21:08

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'miranda32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSDCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\anscha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UR0LW50F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\011.exe
[FUND] Ist das Trojanische Pferd TR/Drop.AutoRun.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cac956.qua' verschoben!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\379.exe
[FUND] Ist das Trojanische Pferd TR/Drop.AutoRun.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2c960.qua' verschoben!
C:\Dokumente und Einstellungen\*******+\Lokale Einstellungen\Temp\381.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.bgyr
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cac966.qua' verschoben!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\506.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.bgyr
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cfc961.qua' verschoben!
C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\844.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.bgyr
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cdc969.qua' verschoben!
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temp\Lady_Eats_Her_Shit--www.youtube.com
[FUND] Ist das Trojanische Pferd TR/Agent.bpix
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49fdc99c.qua' verschoben!
C:\System Volume Information\_restore{8D961068-77A8-488B-8180-92FAE53A0749}\RP25\A0005526.exe
[FUND] Ist das Trojanische Pferd TR/Drop.AutoRun.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c9cc30.qua' verschoben!
C:\System Volume Information\_restore{8D961068-77A8-488B-8180-92FAE53A0749}\RP29\A0006704.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.bgyr
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c9cc46.qua' verschoben!
C:\System Volume Information\_restore{8DB6AE52-3B8E-4CB5-A1E0-011B058CE375}\RP35\A0009017.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.W.45
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c9cd7f.qua' verschoben!

Ende des Suchlaufs: Montag, 16. Februar 2009 22:02
Benötigte Zeit: 53:23 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3910 Verzeichnisse wurden überprüft
125693 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
125683 Dateien ohne Befall
1109 Archive wurden durchsucht
2 Warnungen
9 Hinweise

-----------------------------------------------------------------------
nach dem AntiVir Scan hab ich nochmal nen Malware Scan gemacht, der hat aber nix gefunden:

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1735
Windows 5.1.2600 Service Pack 3

16.02.2009 23:21:33
mbam-log-2009-02-16 (23-21-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 92648
Laufzeit: 1 hour(s), 4 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----------------------------------------------------------------------
und hier der HijackThis Log von heute:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:16, on 18.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\anscha.ANJA\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232812273035
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5524 bytes

Hab ja hier im Forum schon gelesen dass man das Problem mit vshost.exe irgendwie mit Combofix beseitigen kann, trau mich da aber ohne ne zweite Meinung nicht ran....

john.doe · 18.02.2009, 20:55

Hallo und

Zitat:

Hab ja hier im Forum schon gelesen dass man das Problem mit vshost.exe irgendwie mit Combofix beseitigen kann, trau mich da aber ohne ne zweite Meinung nicht ran....

Da hast du richtig gehört.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

anschaa · 18.02.2009, 21:43

okeee also hier der Combofix log:

Zitat:

ComboFix 09-02-17.02 - *** 2009-02-18 21:35:17.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.382.132 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-18 bis 2009-02-18 ))))))))))))))))))))))))))))))
.

2009-03-05 21:42 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-03-05 21:42 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-03-05 21:42 . 2008-04-13 19:45 10,368 --a------ c:\windows\system32\drivers\hidusb.sys
2009-03-05 21:42 . 2008-04-13 19:45 10,368 --a--c--- c:\windows\system32\dllcache\hidusb.sys
2009-02-06 20:24 . 2009-02-13 18:38 <DIR> d-------- c:\programme\Miranda IM
2009-02-06 19:40 . 2009-02-06 19:40 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-02-06 19:40 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 19:39 . 2009-02-06 19:40 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-06 19:39 . 2009-02-06 19:39 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-02-06 19:39 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 16:24 . 2009-02-06 16:24 <DIR> d-------- c:\programme\CCleaner
2009-02-03 18:14 . 2009-02-03 18:15 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2009-01-27 00:15 . 2008-04-13 19:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-01-25 12:08 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-25 12:08 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-01-25 00:23 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-01-25 00:18 . 2009-01-26 20:16 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2009-01-24 18:12 . 2009-01-24 18:12 <DIR> d-------- c:\dokumente und einstellungen\***Anwendungsdaten\Apple Computer
2009-01-24 18:12 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2009-01-24 18:12 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2009-01-24 18:11 . 2009-01-24 18:12 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-24 18:08 . 2009-01-24 18:11 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2009-01-24 18:06 . 2009-01-24 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple
2009-01-24 18:02 . 2009-02-06 20:21 <DIR> d-------- c:\dokumente und einstellungen\*****\Anwendungsdaten\ICQ
2009-01-24 17:59 . 2009-01-24 17:59 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2009-01-24 17:49 . 2009-01-24 17:49 0 --a------ c:\windows\nsreg.dat
2009-01-24 17:41 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-01-24 17:41 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-01-24 17:41 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-24 17:41 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-01-24 17:41 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-01-24 17:41 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-01-24 17:41 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-01-24 17:41 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-24 17:41 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-24 17:33 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-24 17:33 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-01-24 17:33 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-24 17:33 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-24 17:33 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-01-24 17:32 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-01-24 17:32 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-24 17:32 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-24 17:32 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-01-24 17:03 . 2004-08-04 00:38 327,168 --------- c:\windows\system32\drivers\ati2mtaa.sys
2009-01-24 16:50 . 2009-01-24 16:50 <DIR> d--hs---- c:\dokumente und einstellungen\\UserData******
2009-01-24 16:13 . 2009-01-24 15:36 237 --a------ c:\windows\system32\$winnt$.inf
2009-01-24 15:47 . 2004-12-02 15:36 70,912 --a------ c:\windows\system32\drivers\Rtlnicxp.sys
2009-01-24 15:45 . 2005-03-24 20:10 17,899,520 --a------ c:\windows\system32\ALSNDMGR.CPL
2009-01-24 15:39 . 2009-01-24 15:22 <DIR> d--h----- c:\dokumente und einstellungen\***\Vorlagen
2009-01-24 15:39 . 2009-01-24 15:15 <DIR> dr------- c:\dokumente und einstellungen\***\Startmenü
2009-01-24 15:39 . 2009-01-26 20:50 <DIR> d--h----- c:\dokumente und einstellungen\***\Netzwerkumgebung
2009-01-24 15:39 . 2009-02-18 21:36 <DIR> d--h----- c:\dokumente und einstellungen\***\Lokale Einstellungen
2009-01-24 15:39 . 2009-01-24 17:48 <DIR> dr------- c:\dokumente und einstellungen\***\Favoriten
2009-01-24 15:39 . 2009-02-18 21:33 <DIR> dr------- c:\dokumente und einstellungen\***\Eigene Dateien
2009-01-24 15:39 . 2009-01-24 15:15 <DIR> d--h----- c:\dokumente und einstellungen\***\Druckumgebung
2009-01-24 15:39 . 2009-02-06 19:40 <DIR> dr-h----- c:\dokumente und einstellungen\***\Anwendungsdaten
2009-01-24 15:39 . 2009-02-18 21:30 <DIR> d-------- c:\dokumente und einstellungen\***
2009-01-24 15:38 . 2009-02-18 21:36 <DIR> d--h----- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:38 . 2009-02-18 21:36 <DIR> d--h----- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:38 . 2009-01-24 15:38 <DIR> d-------- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:38 . 2009-01-24 15:38 <DIR> d-------- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:38 . 2009-01-24 15:38 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2009-01-24 15:37 . 2009-02-18 21:36 <DIR> d--h----- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:37 . 2009-02-18 21:36 <DIR> d--h----- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:37 . 2009-01-24 15:37 <DIR> d-------- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:37 . 2009-01-24 15:37 <DIR> d-------- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:37 . 2009-01-24 15:37 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT
2009-01-24 15:37 . 2009-01-24 15:37 8,192 --a------ c:\windows\REGLOCS.OLD
2009-01-24 15:36 . 2008-04-14 03:21 156,672 --a--c--- c:\windows\system32\dllcache\winzm.ime
2009-01-24 15:36 . 2008-04-14 03:21 156,672 --a--c--- c:\windows\system32\dllcache\winsp.ime
2009-01-24 15:36 . 2008-04-14 03:21 156,672 --a--c--- c:\windows\system32\dllcache\winpy.ime
2009-01-24 15:36 . 2008-04-14 03:21 79,360 --a--c--- c:\windows\system32\dllcache\winar30.ime
2009-01-24 15:36 . 2008-04-14 03:21 72,704 --a--c--- c:\windows\system32\dllcache\wingb.ime
2009-01-24 15:36 . 2008-04-14 03:21 65,536 --a--c--- c:\windows\system32\dllcache\winime.ime
2009-01-24 15:36 . 2004-08-04 13:00 28,288 --a--c--- c:\windows\system32\dllcache\xjis.nls
2009-01-24 15:34 . 2004-08-04 13:00 10,129,408 --a--c--- c:\windows\system32\dllcache\hwxkor.dll
2009-01-24 15:33 . 2008-04-14 03:20 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
2009-01-24 15:32 . 2003-03-24 16:52 217,088 --a--c--- c:\windows\system32\dllcache\fpmmcsat.dll
2009-01-24 15:31 . 2002-02-19 16:14 17,638 --a------ c:\windows\system32\OEMLOGO.BMP
2009-01-24 15:31 . 2001-11-14 07:23 1,082 --a------ c:\windows\system32\OEMINFO.INI
2009-01-24 15:28 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-01-24 15:28 . 2009-01-24 15:28 23,392 --a------ c:\windows\system32\nscompat.tlb
2009-01-24 15:28 . 2009-01-24 15:28 16,832 --a------ c:\windows\system32\amcompat.tlb
2009-01-24 15:28 . 2009-01-24 15:28 2,951 --a------ c:\windows\system32\CONFIG.NT
2009-01-24 15:28 . 2009-01-24 15:28 0 --a------ c:\windows\control.ini
2009-01-24 15:27 . 2009-01-24 17:29 316,640 --a------ c:\windows\WMSysPr9.prx
2009-01-24 15:26 . 2009-01-24 15:27 <DIR> d--hs---- c:\dokumente und einstellungen\All Users.WINDOWS\DRM
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\WindowsShell.Manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\sapi.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\nwc.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\cdplayer.exe.manifest
2009-01-24 15:26 . 2009-01-24 15:26 488 -rah----- c:\windows\system32\WindowsLogon.manifest
2009-01-24 15:26 . 2009-01-24 15:26 488 -rah----- c:\windows\system32\logonui.exe.manifest
2009-01-24 15:25 . 2004-08-04 13:00 4,399,505 --a--c--- c:\windows\system32\dllcache\nls302en.lex
2009-01-24 15:25 . 2004-08-04 13:00 99,840 --a--c--- c:\windows\system32\dllcache\helphost.exe
2009-01-24 15:25 . 2004-08-04 13:00 48,680 ---hs---- c:\windows\winnt256.bmp
2009-01-24 15:25 . 2004-08-04 13:00 48,680 ---hs---- c:\windows\winnt.bmp
2009-01-24 15:25 . 2004-08-04 13:00 35,328 --a--c--- c:\windows\system32\dllcache\notiflag.exe
2009-01-24 15:25 . 2004-08-04 13:00 21,504 --a--c--- c:\windows\system32\dllcache\brpinfo.dll
2009-01-24 15:25 . 2004-08-04 13:00 11,264 --a--c--- c:\windows\system32\dllcache\atrace.dll
2009-01-24 15:25 . 2004-08-04 13:00 11,264 --a------ c:\windows\system32\atrace.dll
2009-01-24 15:25 . 2004-08-04 13:00 7,680 --a--c--- c:\windows\system32\dllcache\hcappres.dll
2009-01-24 15:25 . 2004-08-04 13:00 2 --a------ c:\windows\system32\desktop.ini
2009-01-24 15:25 . 2004-08-04 13:00 2 --a------ c:\windows\desktop.ini
2009-01-24 15:23 . 2009-01-24 15:23 21,740 --a------ c:\windows\system32\emptyregdb.dat
2009-01-24 15:23 . 2009-01-24 15:23 37 --a------ c:\windows\vbaddin.ini
2009-01-24 15:23 . 2009-01-24 15:23 36 --a------ c:\windows\vb.ini
2009-01-24 15:21 . 2008-04-14 03:22 2,061,824 --a------ c:\windows\system32\mstscax.dll
2009-01-24 15:19 . 2001-08-17 13:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
2009-01-24 15:18 . 2008-04-14 03:22 77,312 --a------ c:\windows\system32\usbui.dll
2009-01-24 15:18 . 2008-04-14 02:52 57,728 --a------ c:\windows\system32\drivers\redbook.sys
2009-01-24 15:18 . 2004-08-03 22:31 20,992 --a------ c:\windows\system32\drivers\RTL8139.sys
2009-01-24 15:18 . 2008-04-14 02:52 16,384 --a------ c:\windows\system32\drivers\battc.sys
2009-01-24 15:18 . 2008-04-13 19:36 13,952 --a------ c:\windows\system32\drivers\cmbatt.sys
2009-01-24 15:18 . 2008-04-13 19:36 10,240 --a------ c:\windows\system32\drivers\compbatt.sys
2009-01-24 15:18 . 2001-08-17 13:46 6,400 --a------ c:\windows\system32\drivers\enum1394.sys
2009-01-24 15:17 . 2008-04-13 19:36 8,832 --a------ c:\windows\system32\drivers\wmiacpi.sys
2009-01-24 15:15 . 2009-01-24 15:22 <DIR> d--h----- c:\dokumente und einstellungen\Default User.WINDOWS\Vorlagen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-24 17:10 --------- d-----w c:\programme\QuickTime
2009-01-05 15:42 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-02 18:21 --------- d-----w c:\programme\Free WMA to MP3 Converter
2009-01-02 17:41 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-01-02 17:39 --------- d-----w c:\programme\Ahead
2009-01-02 17:38 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-01-02 17:20 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-01-02 17:20 --------- d-----w c:\programme\DVDVideoSoft
2009-01-01 21:16 --------- d-----w c:\programme\iTunes
2009-01-01 21:16 --------- d-----w c:\programme\iPod
2009-01-01 21:16 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-01-01 21:15 --------- d-----w c:\programme\Bonjour
2009-01-01 21:13 --------- d-----w c:\programme\Apple Software Update
2009-01-01 21:06 --------- d-----w c:\programme\VideoLAN
2009-01-01 20:58 --------- d-----w c:\programme\MSECache
2009-01-01 20:49 --------- d-----w c:\programme\Microsoft Works
2009-01-01 20:48 --------- d-----w c:\programme\Microsoft.NET
2008-12-31 15:38 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-31 15:25 --------- d-----w c:\programme\Avira
2008-12-31 13:39 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-31 13:38 --------- d-----w c:\programme\Synaptics
2008-12-31 13:38 --------- d-----w c:\programme\CONEXANT
2008-12-31 13:36 --------- d-----w c:\programme\ATI Technologies
2008-12-31 13:35 --------- d-----w c:\programme\AMD
2008-12-31 13:23 --------- d-----w c:\programme\microsoft frontpage
2008-12-31 13:22 --------- d-----w c:\programme\Java
2008-12-31 13:22 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2008-12-31 13:16 --------- d-----w c:\programme\Online-Dienste
2008-12-31 13:15 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-02 57344]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2005-03-16 204800]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-16 737369]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=

R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2009-01-24 9867]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2009-01-24 200192]
S1 mailKmd;mailKmd; [x]
S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3eb03a87-ea27-11dd-b626-806d6172696f}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\anscha.ANJA\Anwendungsdaten\Mozilla\Firefox\Profiles\9maxogy6.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npOGAPlugin.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 21:36:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?h???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@??.?????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s???????w??@?N'?s??? ?-6@?(??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(580)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-18 21:37:32
ComboFix-quarantined-files.txt 2009-02-18 20:37:29

Vor Suchlauf: 12 Verzeichnis(se), 67.204.915.200 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 67,227,504,640 Bytes frei

243 --- E O F --- 2009-02-14 09:43:14

john.doe · 18.02.2009, 21:55

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
mailKmd

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"Adobe Reader Speed Launcher"=-
"SoundMan"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3eb03a87-ea27-11dd-b626-806d6172696f}]

File::
c:\windows\Tasks\AppleSoftwareUpdate.job

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

anschaa · 18.02.2009, 22:20

sooo alles erledigt:

Zitat:

ComboFix 09-02-17.02 - *** 2009-02-18 22:05:54.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.382.149 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\Tasks\AppleSoftwareUpdate.job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\AppleSoftwareUpdate.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_mailKmd

((((((((((((((((((((((( Dateien erstellt von 2009-01-18 bis 2009-02-18 ))))))))))))))))))))))))))))))
.

2009-03-05 21:42 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-03-05 21:42 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-03-05 21:42 . 2008-04-13 19:45 10,368 --a------ c:\windows\system32\drivers\hidusb.sys
2009-03-05 21:42 . 2008-04-13 19:45 10,368 --a--c--- c:\windows\system32\dllcache\hidusb.sys
2009-02-06 20:24 . 2009-02-13 18:38 <DIR> d-------- c:\programme\Miranda IM
2009-02-06 19:40 . 2009-02-06 19:40 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-02-06 19:40 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 19:39 . 2009-02-06 19:40 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-06 19:39 . 2009-02-06 19:39 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-02-06 19:39 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 16:24 . 2009-02-06 16:24 <DIR> d-------- c:\programme\CCleaner
2009-02-03 18:14 . 2009-02-03 18:15 <DIR> d-------- c:\dokumente und einstellungen\***Anwendungsdaten\vlc
2009-01-27 00:15 . 2008-04-13 19:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-01-25 12:08 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-25 12:08 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-01-25 00:23 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-01-25 00:18 . 2009-01-26 20:16 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2009-01-24 18:12 . 2009-01-24 18:12 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2009-01-24 18:12 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2009-01-24 18:12 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2009-01-24 18:11 . 2009-01-24 18:12 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-24 18:08 . 2009-01-24 18:11 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2009-01-24 18:06 . 2009-01-24 18:06 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple
2009-01-24 18:02 . 2009-02-06 20:21 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ
2009-01-24 17:59 . 2009-01-24 17:59 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2009-01-24 17:49 . 2009-01-24 17:49 0 --a------ c:\windows\nsreg.dat
2009-01-24 17:41 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-01-24 17:41 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-01-24 17:41 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-24 17:41 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-01-24 17:41 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-01-24 17:41 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-01-24 17:41 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-01-24 17:41 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-24 17:41 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-24 17:33 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-24 17:33 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-24 17:33 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-01-24 17:33 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-24 17:33 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-24 17:33 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-01-24 17:32 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-01-24 17:32 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-24 17:32 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-24 17:32 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-01-24 17:03 . 2004-08-04 00:38 327,168 --------- c:\windows\system32\drivers\ati2mtaa.sys
2009-01-24 16:50 . 2009-01-24 16:50 <DIR> d--hs---- c:\dokumente und einstellungen\***\UserData
2009-01-24 16:13 . 2009-01-24 15:36 237 --a------ c:\windows\system32\$winnt$.inf
2009-01-24 15:47 . 2004-12-02 15:36 70,912 --a------ c:\windows\system32\drivers\Rtlnicxp.sys
2009-01-24 15:45 . 2005-03-24 20:10 17,899,520 --a------ c:\windows\system32\ALSNDMGR.CPL
2009-01-24 15:39 . 2009-01-24 15:22 <DIR> d--h----- c:\dokumente und einstellungen\***\Vorlagen
2009-01-24 15:39 . 2009-01-24 15:15 <DIR> dr------- c:\dokumente und einstellungen\***\Startmenü
2009-01-24 15:39 . 2009-01-26 20:50 <DIR> d--h----- c:\dokumente und einstellungen\***\Netzwerkumgebung
2009-01-24 15:39 . 2009-02-18 21:37 <DIR> d--h----- c:\dokumente und einstellungen\***\Lokale Einstellungen
2009-01-24 15:39 . 2009-01-24 17:48 <DIR> dr------- c:\dokumente und einstellungen\***\Favoriten
2009-01-24 15:39 . 2009-02-18 21:33 <DIR> dr------- c:\dokumente und einstellungen\***\Eigene Dateien
2009-01-24 15:39 . 2009-01-24 15:15 <DIR> d--h----- c:\dokumente und einstellungen\***\Druckumgebung
2009-01-24 15:39 . 2009-02-06 19:40 <DIR> dr-h----- c:\dokumente und einstellungen\***\Anwendungsdaten
2009-01-24 15:39 . 2009-02-18 21:30 <DIR> d-------- c:\dokumente und einstellungen\***
2009-01-24 15:38 . 2009-02-18 21:37 <DIR> d--h----- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:38 . 2009-02-18 21:37 <DIR> d--h----- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:38 . 2009-01-24 15:38 <DIR> d-------- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:38 . 2009-01-24 15:38 <DIR> d-------- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:38 . 2009-01-24 15:38 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2009-01-24 15:37 . 2009-02-18 21:37 <DIR> d--h----- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:37 . 2009-02-18 21:37 <DIR> d--h----- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-24 15:37 . 2009-01-24 15:37 <DIR> d-------- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:37 . 2009-01-24 15:37 <DIR> d-------- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Anwendungsdaten
2009-01-24 15:37 . 2009-01-24 15:37 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT
2009-01-24 15:37 . 2009-01-24 15:37 8,192 --a------ c:\windows\REGLOCS.OLD
2009-01-24 15:36 . 2008-04-14 03:21 156,672 --a--c--- c:\windows\system32\dllcache\winzm.ime
2009-01-24 15:36 . 2008-04-14 03:21 156,672 --a--c--- c:\windows\system32\dllcache\winsp.ime
2009-01-24 15:36 . 2008-04-14 03:21 156,672 --a--c--- c:\windows\system32\dllcache\winpy.ime
2009-01-24 15:36 . 2008-04-14 03:21 79,360 --a--c--- c:\windows\system32\dllcache\winar30.ime
2009-01-24 15:36 . 2008-04-14 03:21 72,704 --a--c--- c:\windows\system32\dllcache\wingb.ime
2009-01-24 15:36 . 2008-04-14 03:21 65,536 --a--c--- c:\windows\system32\dllcache\winime.ime
2009-01-24 15:36 . 2004-08-04 13:00 28,288 --a--c--- c:\windows\system32\dllcache\xjis.nls
2009-01-24 15:34 . 2004-08-04 13:00 10,129,408 --a--c--- c:\windows\system32\dllcache\hwxkor.dll
2009-01-24 15:33 . 2008-04-14 03:20 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
2009-01-24 15:32 . 2003-03-24 16:52 217,088 --a--c--- c:\windows\system32\dllcache\fpmmcsat.dll
2009-01-24 15:31 . 2002-02-19 16:14 17,638 --a------ c:\windows\system32\OEMLOGO.BMP
2009-01-24 15:31 . 2001-11-14 07:23 1,082 --a------ c:\windows\system32\OEMINFO.INI
2009-01-24 15:28 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-01-24 15:28 . 2009-01-24 15:28 23,392 --a------ c:\windows\system32\nscompat.tlb
2009-01-24 15:28 . 2009-01-24 15:28 16,832 --a------ c:\windows\system32\amcompat.tlb
2009-01-24 15:28 . 2009-01-24 15:28 2,951 --a------ c:\windows\system32\CONFIG.NT
2009-01-24 15:28 . 2009-01-24 15:28 0 --a------ c:\windows\control.ini
2009-01-24 15:27 . 2009-01-24 17:29 316,640 --a------ c:\windows\WMSysPr9.prx
2009-01-24 15:26 . 2009-01-24 15:27 <DIR> d--hs---- c:\dokumente und einstellungen\All Users.WINDOWS\DRM
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\WindowsShell.Manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\sapi.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\nwc.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
2009-01-24 15:26 . 2009-01-24 15:26 749 -rah----- c:\windows\system32\cdplayer.exe.manifest
2009-01-24 15:26 . 2009-01-24 15:26 488 -rah----- c:\windows\system32\WindowsLogon.manifest
2009-01-24 15:26 . 2009-01-24 15:26 488 -rah----- c:\windows\system32\logonui.exe.manifest
2009-01-24 15:25 . 2004-08-04 13:00 4,399,505 --a--c--- c:\windows\system32\dllcache\nls302en.lex
2009-01-24 15:25 . 2004-08-04 13:00 99,840 --a--c--- c:\windows\system32\dllcache\helphost.exe
2009-01-24 15:25 . 2004-08-04 13:00 48,680 ---hs---- c:\windows\winnt256.bmp
2009-01-24 15:25 . 2004-08-04 13:00 48,680 ---hs---- c:\windows\winnt.bmp
2009-01-24 15:25 . 2004-08-04 13:00 35,328 --a--c--- c:\windows\system32\dllcache\notiflag.exe
2009-01-24 15:25 . 2004-08-04 13:00 21,504 --a--c--- c:\windows\system32\dllcache\brpinfo.dll
2009-01-24 15:25 . 2004-08-04 13:00 11,264 --a--c--- c:\windows\system32\dllcache\atrace.dll
2009-01-24 15:25 . 2004-08-04 13:00 11,264 --a------ c:\windows\system32\atrace.dll
2009-01-24 15:25 . 2004-08-04 13:00 7,680 --a--c--- c:\windows\system32\dllcache\hcappres.dll
2009-01-24 15:25 . 2004-08-04 13:00 2 --a------ c:\windows\system32\desktop.ini
2009-01-24 15:25 . 2004-08-04 13:00 2 --a------ c:\windows\desktop.ini
2009-01-24 15:23 . 2009-01-24 15:23 21,740 --a------ c:\windows\system32\emptyregdb.dat
2009-01-24 15:23 . 2009-01-24 15:23 37 --a------ c:\windows\vbaddin.ini
2009-01-24 15:23 . 2009-01-24 15:23 36 --a------ c:\windows\vb.ini
2009-01-24 15:21 . 2008-04-14 03:22 2,061,824 --a------ c:\windows\system32\mstscax.dll
2009-01-24 15:19 . 2001-08-17 13:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
2009-01-24 15:18 . 2008-04-14 03:22 77,312 --a------ c:\windows\system32\usbui.dll
2009-01-24 15:18 . 2008-04-14 02:52 57,728 --a------ c:\windows\system32\drivers\redbook.sys
2009-01-24 15:18 . 2004-08-03 22:31 20,992 --a------ c:\windows\system32\drivers\RTL8139.sys
2009-01-24 15:18 . 2008-04-14 02:52 16,384 --a------ c:\windows\system32\drivers\battc.sys
2009-01-24 15:18 . 2008-04-13 19:36 13,952 --a------ c:\windows\system32\drivers\cmbatt.sys
2009-01-24 15:18 . 2008-04-13 19:36 10,240 --a------ c:\windows\system32\drivers\compbatt.sys
2009-01-24 15:18 . 2001-08-17 13:46 6,400 --a------ c:\windows\system32\drivers\enum1394.sys
2009-01-24 15:17 . 2008-04-13 19:36 8,832 --a------ c:\windows\system32\drivers\wmiacpi.sys
2009-01-24 15:15 . 2009-01-24 15:22 <DIR> d--h----- c:\dokumente und einstellungen\Default User.WINDOWS\Vorlagen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-24 17:10 --------- d-----w c:\programme\QuickTime
2009-01-05 15:42 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-02 18:21 --------- d-----w c:\programme\Free WMA to MP3 Converter
2009-01-02 17:41 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-01-02 17:39 --------- d-----w c:\programme\Ahead
2009-01-02 17:38 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-01-02 17:20 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-01-02 17:20 --------- d-----w c:\programme\DVDVideoSoft
2009-01-01 21:16 --------- d-----w c:\programme\iTunes
2009-01-01 21:16 --------- d-----w c:\programme\iPod
2009-01-01 21:16 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-01-01 21:15 --------- d-----w c:\programme\Bonjour
2009-01-01 21:13 --------- d-----w c:\programme\Apple Software Update
2009-01-01 21:06 --------- d-----w c:\programme\VideoLAN
2009-01-01 20:58 --------- d-----w c:\programme\MSECache
2009-01-01 20:49 --------- d-----w c:\programme\Microsoft Works
2009-01-01 20:48 --------- d-----w c:\programme\Microsoft.NET
2008-12-31 15:38 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-31 15:25 --------- d-----w c:\programme\Avira
2008-12-31 13:39 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-31 13:38 --------- d-----w c:\programme\Synaptics
2008-12-31 13:38 --------- d-----w c:\programme\CONEXANT
2008-12-31 13:36 --------- d-----w c:\programme\ATI Technologies
2008-12-31 13:35 --------- d-----w c:\programme\AMD
2008-12-31 13:23 --------- d-----w c:\programme\microsoft frontpage
2008-12-31 13:22 --------- d-----w c:\programme\Java
2008-12-31 13:22 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2008-12-31 13:16 --------- d-----w c:\programme\Online-Dienste
2008-12-31 13:15 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-02-18_21.36.49,81 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
- 2009-02-17 17:36:02 12,786 ----a-w c:\windows\SoftwareDistribution\EventCache\{81441281-252D-4B3E-9F5B-EC20A9629C5B}.bin
+ 2009-02-18 21:07:14 12,786 ----a-w c:\windows\SoftwareDistribution\EventCache\{81441281-252D-4B3E-9F5B-EC20A9629C5B}.bin
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-02 57344]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2005-03-16 204800]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-16 737369]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=

R1 Hotkey;Hotkey;c:\windows\system32\drivers\HOTKEY.sys [2009-01-24 9867]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2009-01-24 200192]
S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys --> c:\windows\system32\drivers\Wbutton.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\9maxogy6.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npOGAPlugin.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 22:08:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?h???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@??.?????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s???????w??@?N'?s??? ?-6@?(??????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(580)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-18 22:10:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-18 21:10:41
ComboFix2.txt 2009-02-18 20:37:33

Vor Suchlauf: 13 Verzeichnis(se), 67.200.659.456 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 67,149,705,216 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

264 --- E O F --- 2009-02-14 09:43:14

john.doe · 18.02.2009, 22:24

Wie geht es dem Rechner?

ciao, andreas

anschaa · 20.02.2009, 14:11

also ich hab Antivir nochmal laufen lassen: kein Fund.

auf C: kann ich auch wieder ganz normal zugreifen

VIELEN DANK für die hilfe. :aplaus:

kann / soll ich das combofix jetz wieder deinstallieren?? oder kann ichs zumindest von meim desktop woanders hinschieben?

john.doe · 20.02.2009, 18:09

1.) Start => Ausführen => combofix /u => OK
2.) Lesen und Liste abarbeiten: http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Alexi Laiho · 06.08.2009, 11:28

Hallöchen. Ich bin neu hier und hoffe das dieses Thema noch aktuell ist und hier jemand reinschaut.

Also ich habe genau das gleiche Problem wie der Threaderöffner. Ich kann auch nicht mehr auf C: zugreifen weil dann dort steht, dass vshost.exe nicht gefunden werden kann.
Ich habe mir auch schon Combofix runtergeladen und hoffe nun, dass sich jemand um mein Problem kümmern kann, der sich damit auskennt.
Liebe Grüße, Dennis

john.doe · 06.08.2009, 15:39

Hallo Dennis und

Eröffne, wie jeder hier, dein eigenes Thema. Dieses Thema gehört anschaa.

Klicke da => http://www.trojaner-board.de/plagege...n-bekaempfung/
und dann links oben auf Neues Thema. Dann klickst du auf "Für alle Neuen" in meiner Signatur, liest alles aufmerksam und arbeitest die komplette Liste unter Punkt 2 ab. Wenn alle Logs gepostet sind, dann geht es weiter.

ciao, andreas

vshost.exe konnte nicht gefunden werden / mehrere Trojaner / Worm.Agent.W45

Plagegeister aller Art und deren Bekämpfung: vshost.exe konnte nicht gefunden werden / mehrere Trojaner / Worm.Agent.W45