"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"

cosinus · 14.07.2010, 14:27

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
c:\windows\system32†

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

no-one · 14.07.2010, 14:30

ich Flash_Disinfector.exe verwendet. Am schluss kam nur "Done". dann hab ich ein reboot gemacht...

no-one · 14.07.2010, 14:44

1. Combofix log
Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-12.06 - xxx 14.07.2010  15:43:30.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.809 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
.

((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xxx\Eigene Dateien\smss.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-13 20:22 . 2010-07-13 20:22	--------	d-----w-	c:\programme\CCleaner
2010-07-13 17:56 . 2010-07-13 17:56	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:30 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 15:29 . 2010-07-13 15:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-13 09:30 . 2010-07-13 09:30	--------	d-----w-	c:\programme\Trend Micro
2010-07-12 15:25 . 2010-07-12 15:25	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:13 . 2010-07-14 13:41	--------	d-sha-w-	c:\windows\system32†
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-07-08 19:11 . 2010-07-08 19:15	--------	d-----w-	c:\programme\ANNO 1503
2010-07-04 09:33 . 2009-10-23 15:28	3558912	-c----w-	c:\windows\system32\dllcache\moviemk.exe
2010-07-04 09:32 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-07-04 09:32 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-06-15 18:01 . 2010-06-15 18:01	72504	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-12 15:12 . 2010-07-12 15:11	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-12 15:11 . 2010-07-12 15:10	--------	d-----w-	c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-14 02:22 . 2003-05-29 10:48	1474560	--sha-w-	c:\windows\system32†\smss.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32†\smss.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\SYSTEM~1\\smss.exe"=

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-14 15:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteintr‰ge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d?????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-07-14  15:47:02
ComboFix-quarantined-files.txt  2010-07-14 13:46
ComboFix2.txt  2010-07-14 11:37

Vor Suchlauf: 9 Verzeichnis(se), 124.468.576.256 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 124.458.659.840 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 231EF2776B4C5011B396772FE665FF06

--- --- ---

2. immer wenn combofix durchläuft, muss er jedes mal die wiederherstellungskonsole neu installieren. Ausserdem, wenn ich bei den Ordneroptionen mir die Dateiendungen anzeigen lasse, sind diese nach jedem Neustart wieder ausgeblendet, und ich hab eine Verknüpfung gelöscht, die jedoch auch wieder auf dem Desktop war...Vielleicht hilft das weiter?

cosinus · 14.07.2010, 15:37

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

folders to delete:
c:\windows\system32†

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

no-one · 14.07.2010, 16:16

ich glaub das war nix :S

hier der downloadlink: h**p://www.file-upload.net/download-2671116/backup.zip.html

logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: folder "c:\windows\system32†" not found!
Deletion of folder "c:\windows\system32†" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

cosinus · 14.07.2010, 18:31

Zitat:

Error: folder "c:\windows\system32†" not found!
Deletion of folder "c:\windows\system32†" failed!

Hmpf

Der Ordner ist definitiv da, ich vermute dieses Kreuz-Sonderzeichen dient dazu den Ordner möglichst nicht löschen zu können

Findest Du den Ordner in Windows? Wenn ja, kannst Du den umbenennen in system32bad?
Versuch nicht den wichtigen Ordner system32 umzubenennen!! Nur den mit diesem komischen Kreuz!

Wenn dann nichts geht müssen wir mal über ein Live-System von CD ran.

no-one · 15.07.2010, 22:25

(ich konnte gestern nicht und bin jetzt erst wieder zuhause gewesen)

ich hab nach dem Ordner gesucht, aber nix gefunden

dann hab ich einfach mal Norton installiert und es rüberlaufen lassen, und er hat den wurm auch gefunden und Norton konnte ihn löschen

Außerdem hat er auch einige Registrierungseinträge etc. gelöscht... ich hoffe jetzt ist alles weg. dann hab ich einen Neustart gemacht und nochmal einen Norton scan gemacht. Dann Norton deinstalliert und Kaspersky installiert und einen scan gemacht. Nix mehr gefunden. Ich glaube er ist weg....

Vielen Dank für deine Hilfe trotzdem

no-one

PS: Oder bin ich zu blauäugig, zu glauben, dass jetzt alles weg ist? Gibts noch eine andere Möglichkeit zu überprüfen, ob nun alles weg ist?

cosinus · 16.07.2010, 08:10

Dann lass das mal überprüfen. Du musst nen neuen Durchgang mit CF machen.
Lösch die alten und auch umbenannten Versionen vorher, dann lädst Du Dir combofix als cofi.exe neu herunter und führst es nach Anleitung aus.

no-one · 18.07.2010, 15:03

Sorry, dass ich erst jetzt Antworte, aber hier der CF log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-16.02 - xxx 18.07.2010  15:54:45.4.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.729 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-18 bis 2010-07-18  ))))))))))))))))))))))))))))))
.

2010-07-15 19:14 . 2010-07-15 19:14	88760	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-15 19:14 . 2010-07-15 19:14	387768	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-15 19:14 . 2010-07-15 19:14	264888	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-15 19:14 . 2010-07-15 19:14	191160	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-15 19:14 . 2010-07-15 19:14	88760	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-15 19:14 . 2010-07-15 19:14	387768	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-15 19:14 . 2010-07-15 19:14	191160	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-15 19:14 . 2010-07-15 19:14	264888	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-15 19:14 . 2010-07-15 19:14	1037648	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\sw2\klavasyswatch.dll
2010-07-15 19:10 . 2010-07-15 19:10	275792	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-07-15 19:07 . 2010-07-15 19:07	97549	----a-w-	c:\windows\system32\drivers\klick.dat
2010-07-15 19:07 . 2010-07-15 19:07	113933	----a-w-	c:\windows\system32\drivers\klin.dat
2010-07-15 19:06 . 2010-07-18 14:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-07-15 19:06 . 2010-07-15 19:06	--------	d-----w-	c:\programme\Kaspersky Lab
2010-07-15 19:05 . 2010-07-15 19:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-07-15 17:29 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-07-15 17:25 . 2010-07-15 17:25	--------	d-----w-	c:\programme\Windows Sidebar
2010-07-15 17:25 . 2010-07-15 19:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-07-15 17:25 . 2010-07-15 17:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-07-13 20:22 . 2010-07-13 20:22	--------	d-----w-	c:\programme\CCleaner
2010-07-13 17:56 . 2010-07-13 17:56	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:30 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 15:29 . 2010-07-13 15:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-13 09:30 . 2010-07-13 09:30	--------	d-----w-	c:\programme\Trend Micro
2010-07-12 15:25 . 2010-07-12 15:25	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:13 . 2010-07-15 17:36	--------	d-sha-w-	c:\windows\system32†
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-07-08 19:11 . 2010-07-08 19:15	--------	d-----w-	c:\programme\ANNO 1503
2010-07-04 09:33 . 2009-10-23 15:28	3558912	-c----w-	c:\windows\system32\dllcache\moviemk.exe
2010-07-04 09:32 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-07-04 09:32 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-15 19:15 . 2010-05-07 10:34	1037648	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-07-15 19:14 . 2010-05-06 13:00	275792	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-15 17:40 . 2010-03-06 10:33	--------	d-----w-	c:\programme\PantsOff
2010-07-12 15:12 . 2010-07-12 15:11	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-12 15:11 . 2010-07-12 15:10	--------	d-----w-	c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\programme\Apple Software Update
2010-07-08 19:26 . 2002-06-27 16:34	448470	----a-w-	c:\windows\system32\perfh007.dat
2010-07-08 19:26 . 2002-06-27 16:34	80104	----a-w-	c:\windows\system32\perfc007.dat
2010-07-08 19:11 . 2009-12-30 23:34	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-15 18:01 . 2010-06-15 18:01	72504	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2009-12-10 23:19	744448	----a-w-	c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-05-18 14:35 . 2010-05-18 14:35	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2010-05-18 14:35 . 2010-05-18 14:35	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-05-18 14:35 . 2010-05-18 14:35	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-05-07 16:18 . 2010-05-07 16:18	247120	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\uds.dll
2010-05-07 16:18 . 2010-05-07 16:18	132432	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\dns_client.dll
2010-05-07 16:18 . 2010-05-07 16:18	272984	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-05-07 14:26 . 2010-05-07 14:26	92816	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2011 11.0.0.232\German\setup.exe
2010-05-07 10:37 . 2010-05-07 10:37	228024	----a-w-	c:\windows\system32\klogon.dll
2010-05-06 22:19 . 2010-05-06 22:19	132184	----a-w-	c:\windows\system32\drivers\kl2.sys
2010-05-06 22:19 . 2010-05-06 22:19	132184	----a-w-	c:\windows\system32\drivers\kl1.sys
2010-05-06 10:31 . 2006-06-23 12:27	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2002-06-27 16:43	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2002-06-27 16:24	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-19 18:47 . 2010-07-12 15:09	3062048	----a-w-	c:\windows\system32\usbaaplrc.dll
2010-04-19 18:47 . 2010-07-12 15:09	41984	----a-w-	c:\windows\system32\drivers\usbaapl.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" [2010-05-07 344736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
S0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S1 kl2;Kl2;c:\windows\system32\drivers\kl2.sys [07.05.2010 00:19 132184]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - WINIO
*Deregistered* - WINIO
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-07-18 16:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteintr‰ge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d?????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2460)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\System32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\windows\Mixer.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-18  16:04:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-18 14:04
ComboFix2.txt  2010-07-14 13:47
ComboFix3.txt  2010-07-14 11:37

Vor Suchlauf: 10 Verzeichnis(se), 123.427.864.576 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 123.365.670.912 Bytes frei

- - End Of File - - D99E82DD7A782C36CF36F7F5C2F9AFAF

--- --- ---

ich hoffe nun ist alles weg?

Gruß,
no-one

cosinus · 18.07.2010, 15:30

Code:

ATTFilter

2010-07-12 15:13 . 2010-07-15 17:36	--------	d-sha-w-	c:\windows\system32†

Der ist noch da. Du wirst das vermutlich über ein Fremdsystem wie Knoppix oder Parted Magic machen müssen...

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 den Ordner /windows/system32† um in system32vir
7. Starte den Rechner neu und boote Windows
8. Den umbenannten Ordner mal zippen und hier hochladen > http://www.trojaner-board.de/54791-a...ner-board.html

no-one · 18.07.2010, 16:12

Datei ist Hochgeladen. Aber da ist nicht all zu viel drin. Wirst du ja sehen...

Gruß,
no-one

cosinus · 18.07.2010, 16:30

Konntest Du den Ordner denn ohne Probleme unter Linux umbenennen? War da sonst nichts weiter drin?

Wenn ja kannst ihn jetzt löschen.

no-one · 18.07.2010, 17:40

konnte ihn ohne weiteres umbenennen, und es war nix weiteres drin... ich lösch ihn jetzt

cosinus · 18.07.2010, 18:11

Ok. Bitte dann Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

no-one · 10.08.2010, 22:56

Hallo,
ich hab etwas gebraucht um die letzten schritte zu machen, jedoch hatte ich seitdem dem PC nicht mehr benutzt. Hier die Logs:

1. GMER stürzt immer ab - also kein log

2. OSAM:
OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
h**p://www.online-solutions.ru/en/
Saved at 23:50:18 on 10.08.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.5

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ImageDrive.cpl" - "Nero AG" - C:\WINDOWS\system32\ImageDrive.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a347bus" (a347bus) - " " - C:\WINDOWS\System32\DRIVERS\a347bus.sys
"a347scsi" (a347scsi) - " " - C:\WINDOWS\System32\Drivers\a347scsi.sys
"AnyDVD" (AnyDVD) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\AnyDVD.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"imagedrv" (imagedrv) - "Ahead Software AG" - C:\WINDOWS\System32\Drivers\imagedrv.sys
"imagesrv" (imagesrv) - "Ahead Software AG" - C:\WINDOWS\System32\DRIVERS\imagesrv.sys
"Kl1" (KL1) - "Kaspersky Lab ZAO" - C:\WINDOWS\System32\drivers\kl1.sys
"Kl2" (kl2) - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\drivers\kl2.sys
"kxtdqpog" (kxtdqpog) - ? - C:\DOKUME~1\xxx\LOKALE~1\Temp\kxtdqpog.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"SiS AGP Filter" (SISAGP) - "Silicon Integrated Systems Corporation" - C:\WINDOWS\System32\DRIVERS\SISAGPX.sys
"Standard-IDE/ESDI-Festplattencontroller" (atapi) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\atapi.sys  (File is exclusively opened, access blocked)
"VIA USB Host Controller Lower Filter" (vulfnths) - "VIA Technologies, Inc." - C:\WINDOWS\System32\Drivers\vulfnth.sys
"VIA USB Roothub Lower Filter" (vulfntrs) - "VIA Technologies, Inc." - C:\WINDOWS\System32\Drivers\vulfntr.sys
"VSO Software pcouffin" (pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\pcouffin.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{32020A01-506E-484D-A2A8-BE3CF17601C3} "AlcoholShellEx" - "Alcohol Soft Development Team" - C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\System32\Macromed\Flash\Flash10d.ocx / h**p://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
{CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AVP" - "Kaspersky Lab ZAO" - "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
"HTpatch" - ? - C:\WINDOWS\htpatch.exe  (File found, but it contains no detailed information)
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime
"SiSUSBRG" - "Silicon Integrated Systems Corp." - C:\WINDOWS\SiSUSBrg.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\klogon.dll
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru

3. Bootkit_remover:

Bootkit Remover
(c) 2009 eSage Lab
esage lab - main

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

ich hoffe nun ist alles weg??

gruß,
no-one

18.07.2010, 16:30	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" - Standard$ "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" Konntest Du den Ordner denn ohne Probleme unter Linux umbenennen? War da sonst nichts weiter drin? Wenn ja kannst ihn jetzt löschen. __________________ Logfiles bitte immer in CODE-Tags posten

"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"

Plagegeister aller Art und deren Bekämpfung: "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"