Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: evt. rootkit eingefangen(agent), was tun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.09.2010, 22:31   #1
bitburger1
 
evt. rootkit eingefangen(agent), was tun? - Standard

evt. rootkit eingefangen(agent), was tun?



Hallo zusammen, habe dieses Forum eben via google gefunden, da ich wohl Probleme mit meinem Rechner habe, von denen ich bislang garnichts wusste.

Ich würde mich sehr freuen wenn ihr mir helfen könntet.

Nachdem er in den letzten Monaten nicht mehr so rund lief, tauchen mittlerweile Warnungen von Anti-Vir auf, "signatur des rootkits agent.diiu" habe ich nun mehrfach in Quarantäne verschieben lassen. Komischwerweise kam das mit dem spybot-update, ich hatte bei den vollen Systemscans (spybot zeigt trotz update nichts an) auch irgendwie den Eindruck dass sich die Programme gegenseitig behindern.

Echtes Rechnerproblem ist eine Art Aufhängen, er ist extrem langsam, Lüfter auf Hochtouren, es hilft nur Neustart, für kurze Zeit.

Leider kenne ich mich mit der Materie nicht aus, meine Rechner liefen immer mit Windows, dazu regelmäßige updates von anti vir und spybot SD, damit hatte ich nun über 10 Jahre keine Probleme. Tja, bis heute...

habe nun diesen Thread gefunden bei euch:

http://www.trojaner-board.de/86110-r...2-drivers.html

Frage: soll ich mit den Anweisungen darin einfach mal loslegen?

da als Ort immer "systeme volume information" angezeigt wird, habe ich noch das hier gefunden:

hxxp://www.it-academy.cc/article/1562/System+Volume+Information+Viren+entfernen.html

soll ich erst Methode 2 versuchen?

schonmal danke und Gruß Christoph

nachtrag: anti vir zeigt mir genau das gleiche wie hier:

http://www.trojaner-board.de/90662-a...iu-befall.html

kann ich genau wie in diesem thread vorgehen und die ergebnisse hier posten?

oder soll ich vorher nochmal von Hand was versuchen zu ändern, z.B. im Ordner "systeme volume information"?

so, die ersten logfiles:

AntiVir von Samstag nacht:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. September 2010 11:44

Es wird nach 2801829 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HPCHRIS

Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23-10-2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 08-12-2008 20:15:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17-07-2008 19:31:34
LUKE.DLL : 8.1.4.5 164097 Bytes 17-07-2008 19:31:34
LUKERES.DLL : 8.1.4.0 12545 Bytes 17-07-2008 19:31:34
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06-11-2009 17:18:02
ANTIVIR1.VDF : 7.10.9.170 16733040 Bytes 23-07-2010 19:01:13
ANTIVIR2.VDF : 7.10.11.127 3380640 Bytes 10-09-2010 08:01:06
ANTIVIR3.VDF : 7.10.11.128 2048 Bytes 10-09-2010 08:01:07
Engineversion : 8.2.4.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 02-08-2010 20:22:15
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26-08-2010 21:43:41
AESCN.DLL : 8.1.6.1 127347 Bytes 12-05-2010 23:31:06
AESBX.DLL : 8.1.3.1 254324 Bytes 25-04-2010 21:14:47
AERDL.DLL : 8.1.8.2 614772 Bytes 20-07-2010 21:36:00
AEPACK.DLL : 8.2.3.5 471412 Bytes 08-08-2010 22:47:52
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21-07-2010 21:35:45
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03-09-2010 20:35:57
AEHELP.DLL : 8.1.13.3 242038 Bytes 26-08-2010 21:43:37
AEGEN.DLL : 8.1.3.20 397684 Bytes 26-08-2010 21:43:36
AEEMU.DLL : 8.1.2.0 393588 Bytes 25-04-2010 21:14:47
AECORE.DLL : 8.1.16.2 192887 Bytes 20-07-2010 21:35:43
AEBB.DLL : 8.1.1.0 53618 Bytes 25-04-2010 21:14:46
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17-07-2008 19:31:34
AVPREF.DLL : 8.0.2.0 38657 Bytes 17-07-2008 19:31:34
AVREP.DLL : 8.0.0.7 159784 Bytes 02-03-2010 21:59:57
AVREG.DLL : 8.0.0.1 33537 Bytes 17-07-2008 19:31:34
AVARKT.DLL : 1.0.0.23 307457 Bytes 27-04-2008 14:39:08
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17-07-2008 19:31:34
SQLITE3.DLL : 3.3.17.1 339968 Bytes 27-04-2008 14:39:08
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17-07-2008 19:31:34
NETNT.DLL : 8.0.0.1 7937 Bytes 27-04-2008 14:39:08
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17-07-2008 19:31:30
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17-07-2008 19:31:30

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 12. September 2010 11:44

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'monmvr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nipalsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nipalsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tagsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nisvcloc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nidmsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nimxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lktsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lkads.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lkcitdl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Christoph\Startmenü\Programme\Autostart\monmvr32.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP722\A0052449.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbca46d.qua' verschoben!
C:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP722\A0052458.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbca473.qua' verschoben!
C:\WINDOWS\system32\drivers\secdrv.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cefed5b.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <ProgrammeLager>
D:\Lager\instCDs\RTCW\DirectX\dxnt.cab
[0] Archivtyp: CAB (Microsoft)
--> d3dref.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Lager\Lager1\kram\Seppel\INSTALLPROGRAMME\CLONECD\KEYGENERATOR\DAMN_CLONECD3042_KG.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd9ef5a.qua' verschoben!
D:\Lager\Lager1\Music,Sounds&Video\Audiograbber\AudioGrabber.1.82.Final_+_Keygen_[Shared_by_RAM].rar
[0] Archivtyp: RAR
--> AudioGrabber 1.82 Final\pgc_ag18.exe
[FUND] Ist das Trojanische Pferd TR/Spy.91648.1
[WARNUNG] Die Datei wurde ignoriert.
D:\Lager\Lager4science\AFP\BallsSticks\BS-1.52.zip
[0] Archivtyp: ZIP
--> bs.exe
[FUND] Ist das Trojanische Pferd TR/Agent.638464
[WARNUNG] Die Datei wurde ignoriert.
D:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP722\A0051474.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> Clone CD_6 versions + Serials + Keygens/Clone CD 4.0 + serial.zip
[1] Archivtyp: ZIP
--> clone cd 4.0 and serial/cloneCDSetupLocaleEditor.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.acqb
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbcfbe2.qua' verschoben!
D:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP723\A0052507.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbcfbe8.qua' verschoben!
Beginne mit der Suche in 'E:\' <EigeneDateien>
E:\Christoph\kram\Spaß\Seppl\INSTALLPROGRAMME\CLONECD\KEYGENERATOR\DAMN_CLONECD3042_KG.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd9fcdd.qua' verschoben!
E:\Christoph\uni\Studium\Hauptstudium\Anorganik\Präparate\USBStickafp\C&A\zipprogramme.zip
[0] Archivtyp: ZIP
--> BallsSticks/BS-1.52.zip
[1] Archivtyp: ZIP
--> bs.exe
[FUND] Ist das Trojanische Pferd TR/Agent.638464
[WARNUNG] Die Datei wurde ignoriert.
E:\System Volume Information\_restore{04A64BDD-3637-4D3B-9E3C-D8E4E2462314}\RP723\A0052508.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cbd0097.qua' verschoben!


Ende des Suchlaufs: Sonntag, 12. September 2010 18:32
Benötigte Zeit: 6:48:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15302 Verzeichnisse wurden überprüft
658977 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
658962 Dateien ohne Befall
5840 Archive wurden durchsucht
8 Warnungen
8 Hinweise

____________________________________________________

und eben von Combofix. Evt ist sie nicht ausreichend, da er trotz vorherigem deaktivierens was von Spybot und Antivir gemeldet hat. Ich hab anscheinend die Holländische Combofixversion, ich deeinsalliere alles und versuchs nochmal.
bis dahin:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-12.04 - Christoph 13.09.2010  22:17:38.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1031.18.1022.585 [GMT 2:00]
Kører fra: c:\dokumente und einstellungen\Christoph\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 
advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.
 
(((((((((((((((((((((((((((((((((((((((   Andet, der er slettet   )))))))))))))))))))))))))))))))))))))))))))))))))
.
 
c:\dokumente und einstellungen\Christoph\Anwendungsdaten\avdrn.dat
c:\dokumente und einstellungen\Christoph\x.exe
c:\windows\system32\fjhdyfhsn.bat
 
.
(((((((((((((((((((((((((((((   Filer skabt fra 2010-08-13 til 2010-09-13  )))))))))))))))))))))))))))))))))))
.
 
2010-09-13 20:04 . 2010-09-13 20:04    --------    d-----w-    c:\windows\system32\LogFiles
2010-09-12 23:04 . 2010-09-12 23:21    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-09-11 21:21 . 2008-04-13 18:40    34688    -c--a-w-    c:\windows\system32\dllcache\lbrtfdc.sys
2010-09-11 21:21 . 2008-04-13 18:40    34688    ----a-w-    c:\windows\system32\drivers\lbrtfdc.sys
2010-09-11 21:21 . 2008-04-13 18:41    8576    -c--a-w-    c:\windows\system32\dllcache\i2omgmt.sys
2010-09-11 21:21 . 2008-04-13 18:41    8576    ----a-w-    c:\windows\system32\drivers\i2omgmt.sys
2010-09-11 21:21 . 2008-04-13 18:40    8192    -c--a-w-    c:\windows\system32\dllcache\changer.sys
2010-09-11 21:21 . 2008-04-13 18:40    8192    ----a-w-    c:\windows\system32\drivers\changer.sys
2010-09-11 20:52 . 2010-09-11 20:52    46592    ---ha-w-    c:\windows\system32\diskdosx.dll
 
.
((((((((((((((((((((((((((((((((((((((((   Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 20:04 . 2007-02-18 22:57    --------    d-----w-    c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Skype
2010-09-13 19:32 . 2009-05-25 16:52    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-09-13 18:55 . 2007-05-03 22:21    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2010-09-12 23:15 . 2007-02-17 11:47    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-11 20:51 . 2010-09-11 20:50    24    ----a-w-    c:\dokumente und einstellungen\Christoph\Anwendungsdaten\apiqfw.dat
2010-08-31 20:36 . 2010-06-10 20:52    --------    d-----w-    c:\programme\DVDVideoSoftTB
2010-07-25 08:17 . 2010-07-25 08:17    --------    d-----w-    c:\dokumente und einstellungen\Gast\Anwendungsdaten\InterVideo
2010-06-30 12:28 . 2004-08-04 13:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-24 12:15 . 2004-08-04 13:00    832512    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2004-08-04 13:00    78336    ----a-w-    c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2004-08-04 13:00    17408    ------w-    c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-04 13:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 13:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 13:00    80384    ----a-w-    c:\windows\system32\iccvid.dll
2004-03-15 16:51 . 2004-03-15 16:51    114688    ----a-w-    c:\programme\internet explorer\plugins\LV71ActiveXControl.dll
2003-05-01 08:36 . 2003-05-01 08:36    114688    ----a-w-    c:\programme\internet explorer\plugins\LV7ActiveXControl.dll
2006-01-23 09:32 . 2006-01-23 09:32    131072    ----a-w-    c:\programme\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 13:40 . 2006-06-07 13:40    132848    ----a-w-    c:\programme\internet explorer\plugins\LV82ActiveXControl.dll
.
 
(((((((((((((((((((((((((((((((((((   Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke  
REGEDIT4
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736]
 
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-08-31 20:36    2736736    ----a-w-    c:\programme\DVDVideoSoftTB\tbDVD1.dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736]
 
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736]
 
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 
c:\dokumente und einstellungen\Christoph\Startmen\Programme\Autostart\
monmvr32.exe [2008-4-14 32256]
PowerReg Scheduler V3.exe [2007-2-18 241664]
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=c:\programme\Hp\HP Software Update\HPWuSchd2.exe
"WinampAgent"=d:\programme\Winamp\winampa.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"NeroCheck"=c:\windows\system32\NeroCheck.exe
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe"
"PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTLPHR.EXE
"PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Programme\\National Instruments\\LabVIEW 8.2\\LabVIEW.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\National Instruments\\MAX\\nimxsoffline.exe"=
"d:\\Programme\\Falcon4AF\\FalconAF.exe"=
"d:\\Programme\\National Instruments\\Shared\\Example Finder\\1.0\\BIN\\NIExampleFinder.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
 
R2 gpib420;GPIB Analyzer;c:\windows\system32\drivers\gpib420.sys [13.02.2006 12:45 31334]
R2 GpibPrtK;Gpib Port;c:\windows\system32\drivers\GpibPrtK.sys [13.02.2006 12:45 199783]
R2 lvalarmk;lvalarmk;c:\windows\system32\drivers\lvalarmk.dll [27.07.2005 09:58 10829]
R2 niarbk;niarbk;c:\windows\system32\drivers\niarbk.dll [04.07.2006 17:35 37376]
R2 nibffrk;nibffrk;c:\windows\system32\drivers\nibffrk.dll [04.07.2006 17:35 21504]
R2 Nidaq32k;Nidaq32k;c:\windows\system32\drivers\nidaq32k.sys [04.07.2006 18:24 674304]
R2 nidevldu;nidevldu;system32\nipalsm.exe --> system32\nipalsm.exe [?]
R2 nidimk;nidimk;c:\windows\system32\drivers\nidimk.dll [13.07.2006 13:04 159232]
R2 nidmmk;NI DMM and Data Logger Kernel Driver;c:\windows\system32\drivers\nidmmk.dll [04.07.2006 18:26 50688]
R2 nidmxfk;nidmxfk;c:\windows\system32\drivers\nidmxfk.dll [20.07.2006 01:19 200704]
R2 nidwgk;nidwgk;c:\windows\system32\drivers\nidwgk.dll [10.07.2006 18:52 979456]
R2 niemrk;niemrk;c:\windows\system32\drivers\niemrk.dll [20.07.2006 19:50 370176]
R2 nifslk;nifslk;c:\windows\system32\drivers\nifslk.dll [16.07.2006 04:16 81920]
R2 nigplk;nigplk;c:\windows\system32\drivers\nigplk.dll [15.02.2006 10:59 101376]
R2 nihsdrk;nihsdrk;c:\windows\system32\drivers\nihsdrk.dll [10.07.2006 16:02 815616]
R2 nimdsk;nimdsk;c:\windows\system32\drivers\nimdsk.dll [04.07.2006 17:36 30208]
R2 nimxpk;nimxpk;c:\windows\system32\drivers\nimxpk.dll [16.07.2006 01:55 20480]
R2 nipsdk;nipsdk;c:\windows\system32\drivers\nipsdk.dll [10.07.2006 11:55 246784]
R2 nipxirmk;nipxirmk;c:\windows\system32\drivers\nipxirmk.dll [18.07.2006 10:34 71680]
R2 nisldk;nisldk;c:\windows\system32\drivers\nisldk.dll [10.07.2006 14:55 395776]
R2 nisrcdk;nisrcdk;c:\windows\system32\drivers\nisrcdk.dll [10.07.2006 15:05 965632]
R2 nistck;nistck;c:\windows\system32\drivers\niSTCk.dll [04.07.2006 17:36 111616]
R2 niswdk;niswdk;c:\windows\system32\drivers\niswdk.dll [16.07.2006 01:16 496640]
R2 nixsrk;nixsrk;c:\windows\system32\drivers\nixsrk.dll [20.07.2006 19:50 1746432]
R2 usb6xxxk;usb6xxxk;c:\windows\system32\drivers\usb6xxxk.dll [16.07.2006 03:22 19968]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [17.02.2007 13:17 231424]
R3 nicdrk;nicdrk;c:\windows\system32\drivers\nicdrk.dll [16.07.2006 01:50 171520]
R3 nimru2k;nimru2k;c:\windows\system32\drivers\nimru2k.dll [13.07.2006 13:58 248832]
R3 nimsdrk;nimsdrk;c:\windows\system32\drivers\nimsdrk.dll [16.07.2006 01:05 137728]
R3 nimstsk;nimstsk;c:\windows\system32\drivers\nimstsk.dll [16.07.2006 01:07 51712]
R3 niscdk;niscdk;c:\windows\system32\drivers\niscdk.dll [16.07.2006 01:42 506880]
R3 nisdigk;nisdigk;c:\windows\system32\drivers\nisdigk.dll [16.07.2006 03:22 240128]
R3 nitiork;nitiork;c:\windows\system32\drivers\nitiork.dll [16.07.2006 01:57 790528]
S3 nidsark;nidsark;c:\windows\system32\drivers\nidsark.dll [20.07.2006 19:39 648192]
S3 niesrk;niesrk;c:\windows\system32\drivers\niesrk.dll [20.07.2006 19:50 500224]
S3 nimslk;nimslk;c:\windows\system32\drivers\nimslk.dll [05.06.2006 19:03 14464]
S3 nimsrlk;nimsrlk;c:\windows\system32\drivers\nimsrlk.dll [05.06.2006 19:03 151683]
S3 nisftk;nisftk;c:\windows\system32\drivers\nisftk.dll [16.07.2006 01:39 164864]
S3 nismbusk;nismbusk;c:\windows\system32\drivers\nismbusk.sys [18.07.2006 10:51 51200]
S3 nispdk;nispdk;c:\windows\system32\drivers\nispdk.dll [16.07.2006 01:42 43008]
S3 nissrk;nissrk;c:\windows\system32\drivers\nissrk.dll [20.07.2006 19:50 1026560]
S3 nistc2k;nistc2k;c:\windows\system32\drivers\nistc2k.dll [06.06.2006 01:21 163328]
S3 nistcrk;nistcrk;c:\windows\system32\drivers\nistcrk.dll [16.07.2006 01:57 111616]
S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\system32\drivers\nivifwk.sys [14.07.2006 12:57 8704]
S3 NiViPciK;NI-VISA PCI Driver;c:\windows\system32\drivers\nivipcik.sys [14.07.2006 12:56 48128]
S3 NiViPxiK;NI-VISA PXI Driver;c:\windows\system32\drivers\nivipxik.sys [14.07.2006 12:56 10752]
S3 niwfrk;niwfrk;c:\windows\system32\drivers\niwfrk.dll [20.07.2006 19:50 434688]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8187.sys [17.02.2007 13:55 180608]
S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [17.02.2007 13:55 13532]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.11.2008 16:49 646392]
.
.
------- Yderligere scanning -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
.
 
**************************************************************************
 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-13 22:21
Windows 5.1.2600 Service Pack 3 NTFS
 
scanner skjulte processer ...  
 
scanner skjulte autostarter ... 
 
scanner skjulte filer ...  
 
scanning gennemført med succes
skjulte filer: 0
 
**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------
 
- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\Ati2evxx.dll
.
Gennemført tid: 2010-09-13  22:24:09
ComboFix-quarantined-files.txt  2010-09-13 20:23
 
Pre-Kørsel: 2.806.857.728 Bytes frei
Post-Kørsel: 2.769.879.040 Bytes frei
 
- - End Of File - - 69D2C777F766A67BFE74A7C12F4E73D6
         
--- --- ---
_____________________________________________________________

danke und gruß, C.

und nachdem spybot und avira vorher komplett deaktiviert wurden.
Hat ein vielfaches länger gedauert...

Problem des sich aufhängenden Computers bleibt, nach dem ersten Scan wars mal weg...



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-12.04 - Christoph 13.09.2010  23:53:32.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1031.18.1022.649 [GMT 2:00]
Kører fra: c:\dokumente und einstellungen\Christoph\Desktop\ComboFix.exe
.
 
(((((((((((((((((((((((((((((   Filer skabt fra 2010-08-13 til 2010-09-13  )))))))))))))))))))))))))))))))))))
.
 
2010-09-13 20:04 . 2010-09-13 20:04    --------    d-----w-    c:\windows\system32\LogFiles
2010-09-12 23:04 . 2010-09-13 21:47    --------    d-----w-    c:\programme\Spybot - Search & Destroy
2010-09-11 21:21 . 2008-04-13 18:40    34688    -c--a-w-    c:\windows\system32\dllcache\lbrtfdc.sys
2010-09-11 21:21 . 2008-04-13 18:40    34688    ----a-w-    c:\windows\system32\drivers\lbrtfdc.sys
2010-09-11 21:21 . 2008-04-13 18:41    8576    -c--a-w-    c:\windows\system32\dllcache\i2omgmt.sys
2010-09-11 21:21 . 2008-04-13 18:41    8576    ----a-w-    c:\windows\system32\drivers\i2omgmt.sys
2010-09-11 21:21 . 2008-04-13 18:40    8192    -c--a-w-    c:\windows\system32\dllcache\changer.sys
2010-09-11 21:21 . 2008-04-13 18:40    8192    ----a-w-    c:\windows\system32\drivers\changer.sys
2010-09-11 20:52 . 2010-09-11 20:52    46592    ---ha-w-    c:\windows\system32\diskdosx.dll
 
.
((((((((((((((((((((((((((((((((((((((((   Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 21:44 . 2007-02-17 11:47    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-13 20:04 . 2007-02-18 22:57    --------    d-----w-    c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Skype
2010-09-13 19:32 . 2009-05-25 16:52    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-09-11 20:51 . 2010-09-11 20:50    24    ----a-w-    c:\dokumente und einstellungen\Christoph\Anwendungsdaten\apiqfw.dat
2010-08-31 20:36 . 2010-06-10 20:52    --------    d-----w-    c:\programme\DVDVideoSoftTB
2010-07-25 08:17 . 2010-07-25 08:17    --------    d-----w-    c:\dokumente und einstellungen\Gast\Anwendungsdaten\InterVideo
2010-06-30 12:28 . 2004-08-04 13:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-24 12:15 . 2004-08-04 13:00    832512    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2004-08-04 13:00    78336    ----a-w-    c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2004-08-04 13:00    17408    ------w-    c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-04 13:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 13:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 13:00    80384    ----a-w-    c:\windows\system32\iccvid.dll
2004-03-15 16:51 . 2004-03-15 16:51    114688    ----a-w-    c:\programme\internet explorer\plugins\LV71ActiveXControl.dll
2003-05-01 08:36 . 2003-05-01 08:36    114688    ----a-w-    c:\programme\internet explorer\plugins\LV7ActiveXControl.dll
2006-01-23 09:32 . 2006-01-23 09:32    131072    ----a-w-    c:\programme\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 13:40 . 2006-06-07 13:40    132848    ----a-w-    c:\programme\internet explorer\plugins\LV82ActiveXControl.dll
.
 
(((((((((((((((((((((((((((((((((((   Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke  
REGEDIT4
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736]
 
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-08-31 20:36    2736736    ----a-w-    c:\programme\DVDVideoSoftTB\tbDVD1.dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736]
 
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD1.dll" [2010-08-31 2736736]
 
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 
c:\dokumente und einstellungen\Christoph\Startmen\Programme\Autostart\
monmvr32.exe [2008-4-14 32256]
PowerReg Scheduler V3.exe [2007-2-18 241664]
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=c:\programme\Hp\HP Software Update\HPWuSchd2.exe
"WinampAgent"=d:\programme\Winamp\winampa.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"NeroCheck"=c:\windows\system32\NeroCheck.exe
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe"
"PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTLPHR.EXE
"PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Programme\\National Instruments\\LabVIEW 8.2\\LabVIEW.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\National Instruments\\MAX\\nimxsoffline.exe"=
"d:\\Programme\\Falcon4AF\\FalconAF.exe"=
"d:\\Programme\\National Instruments\\Shared\\Example Finder\\1.0\\BIN\\NIExampleFinder.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
 
R2 gpib420;GPIB Analyzer;c:\windows\system32\drivers\gpib420.sys [13.02.2006 12:45 31334]
R2 GpibPrtK;Gpib Port;c:\windows\system32\drivers\GpibPrtK.sys [13.02.2006 12:45 199783]
R2 lvalarmk;lvalarmk;c:\windows\system32\drivers\lvalarmk.dll [27.07.2005 09:58 10829]
R2 niarbk;niarbk;c:\windows\system32\drivers\niarbk.dll [04.07.2006 17:35 37376]
R2 nibffrk;nibffrk;c:\windows\system32\drivers\nibffrk.dll [04.07.2006 17:35 21504]
R2 Nidaq32k;Nidaq32k;c:\windows\system32\drivers\nidaq32k.sys [04.07.2006 18:24 674304]
R2 nidevldu;nidevldu;system32\nipalsm.exe --> system32\nipalsm.exe [?]
R2 nidimk;nidimk;c:\windows\system32\drivers\nidimk.dll [13.07.2006 13:04 159232]
R2 nidmmk;NI DMM and Data Logger Kernel Driver;c:\windows\system32\drivers\nidmmk.dll [04.07.2006 18:26 50688]
R2 nidmxfk;nidmxfk;c:\windows\system32\drivers\nidmxfk.dll [20.07.2006 01:19 200704]
R2 nidwgk;nidwgk;c:\windows\system32\drivers\nidwgk.dll [10.07.2006 18:52 979456]
R2 niemrk;niemrk;c:\windows\system32\drivers\niemrk.dll [20.07.2006 19:50 370176]
R2 nifslk;nifslk;c:\windows\system32\drivers\nifslk.dll [16.07.2006 04:16 81920]
R2 nigplk;nigplk;c:\windows\system32\drivers\nigplk.dll [15.02.2006 10:59 101376]
R2 nihsdrk;nihsdrk;c:\windows\system32\drivers\nihsdrk.dll [10.07.2006 16:02 815616]
R2 nimdsk;nimdsk;c:\windows\system32\drivers\nimdsk.dll [04.07.2006 17:36 30208]
R2 nimxpk;nimxpk;c:\windows\system32\drivers\nimxpk.dll [16.07.2006 01:55 20480]
R2 nipsdk;nipsdk;c:\windows\system32\drivers\nipsdk.dll [10.07.2006 11:55 246784]
R2 nipxirmk;nipxirmk;c:\windows\system32\drivers\nipxirmk.dll [18.07.2006 10:34 71680]
R2 nisldk;nisldk;c:\windows\system32\drivers\nisldk.dll [10.07.2006 14:55 395776]
R2 nisrcdk;nisrcdk;c:\windows\system32\drivers\nisrcdk.dll [10.07.2006 15:05 965632]
R2 nistck;nistck;c:\windows\system32\drivers\niSTCk.dll [04.07.2006 17:36 111616]
R2 niswdk;niswdk;c:\windows\system32\drivers\niswdk.dll [16.07.2006 01:16 496640]
R2 nixsrk;nixsrk;c:\windows\system32\drivers\nixsrk.dll [20.07.2006 19:50 1746432]
R2 usb6xxxk;usb6xxxk;c:\windows\system32\drivers\usb6xxxk.dll [16.07.2006 03:22 19968]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [17.02.2007 13:17 231424]
R3 nicdrk;nicdrk;c:\windows\system32\drivers\nicdrk.dll [16.07.2006 01:50 171520]
R3 nimru2k;nimru2k;c:\windows\system32\drivers\nimru2k.dll [13.07.2006 13:58 248832]
R3 nimsdrk;nimsdrk;c:\windows\system32\drivers\nimsdrk.dll [16.07.2006 01:05 137728]
R3 nimstsk;nimstsk;c:\windows\system32\drivers\nimstsk.dll [16.07.2006 01:07 51712]
R3 niscdk;niscdk;c:\windows\system32\drivers\niscdk.dll [16.07.2006 01:42 506880]
R3 nisdigk;nisdigk;c:\windows\system32\drivers\nisdigk.dll [16.07.2006 03:22 240128]
R3 nitiork;nitiork;c:\windows\system32\drivers\nitiork.dll [16.07.2006 01:57 790528]
S3 nidsark;nidsark;c:\windows\system32\drivers\nidsark.dll [20.07.2006 19:39 648192]
S3 niesrk;niesrk;c:\windows\system32\drivers\niesrk.dll [20.07.2006 19:50 500224]
S3 nimslk;nimslk;c:\windows\system32\drivers\nimslk.dll [05.06.2006 19:03 14464]
S3 nimsrlk;nimsrlk;c:\windows\system32\drivers\nimsrlk.dll [05.06.2006 19:03 151683]
S3 nisftk;nisftk;c:\windows\system32\drivers\nisftk.dll [16.07.2006 01:39 164864]
S3 nismbusk;nismbusk;c:\windows\system32\drivers\nismbusk.sys [18.07.2006 10:51 51200]
S3 nispdk;nispdk;c:\windows\system32\drivers\nispdk.dll [16.07.2006 01:42 43008]
S3 nissrk;nissrk;c:\windows\system32\drivers\nissrk.dll [20.07.2006 19:50 1026560]
S3 nistc2k;nistc2k;c:\windows\system32\drivers\nistc2k.dll [06.06.2006 01:21 163328]
S3 nistcrk;nistcrk;c:\windows\system32\drivers\nistcrk.dll [16.07.2006 01:57 111616]
S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\system32\drivers\nivifwk.sys [14.07.2006 12:57 8704]
S3 NiViPciK;NI-VISA PCI Driver;c:\windows\system32\drivers\nivipcik.sys [14.07.2006 12:56 48128]
S3 NiViPxiK;NI-VISA PXI Driver;c:\windows\system32\drivers\nivipxik.sys [14.07.2006 12:56 10752]
S3 niwfrk;niwfrk;c:\windows\system32\drivers\niwfrk.dll [20.07.2006 19:50 434688]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8187.sys [17.02.2007 13:55 180608]
S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [17.02.2007 13:55 13532]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.11.2008 16:49 646392]
.
.
------- Yderligere scanning -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\54ek37pz.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
.
 
**************************************************************************
 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-14 00:17
Windows 5.1.2600 Service Pack 3 NTFS
 
scanner skjulte processer ...  
 
scanner skjulte autostarter ... 
 
scanner skjulte filer ...  
 
scanning gennemført med succes
skjulte filer: 0
 
**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------
 
- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\Ati2evxx.dll
.
Gennemført tid: 2010-09-14  00:32:14
ComboFix-quarantined-files.txt  2010-09-13 22:32
ComboFix2.txt  2010-09-13 20:24
 
Pre-Kørsel: 3.046.715.392 Bytes frei
Post-Kørsel: 3.034.804.224 Bytes frei
 
WindowsXP-KB310994-SP2-Home-BootDisk-DAN.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 
- - End Of File - - CA8E714C7128F05DD023B028682CBE51
         
--- --- ---

Logdatei Malwarebyte:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4615

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14.09.2010 23:45:38
mbam-log-2010-09-14 (23-45-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 256793
Laufzeit: 1 Stunde(n), 13 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\diskdosx.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
D:\Lager\Lager1\kram\Seppel\INSTALLPROGRAMME\CLONECD\SETUPCLONECD.EXE (Trojan.Agent.CK) -> Quarantined and deleted successfully.
E:\Christoph\kram\Spaß\Seppl\INSTALLPROGRAMME\CLONECD\SETUPCLONECD.EXE (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christoph\Startmenü\Programme\Autostart\monmvr32.exe (Trojan.Downloader) -> Delete on reboot.
C:\Dokumente und Einstellungen\Christoph\Desktop\AntiVir.lnk (Rogue.Antivir2010) -> Quarantined and deleted successfully.


Einige Objekte ließen sich gemäß Meldung nicht entfernen. Ich lasse erneut scannen...

Alt 15.09.2010, 15:57   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
evt. rootkit eingefangen(agent), was tun? - Standard

evt. rootkit eingefangen(agent), was tun?



Zitat:
D:\Lager\Lager1\kram\Seppel\INSTALLPROGRAMME\CLONECD\KEYGENERATOR\DAMN_CLONECD3042_KG.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/SdBot.CAOC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd9ef5a.qua' verschoben!
D:\Lager\Lager1\Music,Sounds&Video\Audiograbber\AudioGrabber.1.82.Final_+_Keygen_[Shared_by_RAM].rar
Einfach mal keine geklaute /illegale Software verwenden!


Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!
__________________

__________________

Alt 15.09.2010, 16:13   #3
bitburger1
 
evt. rootkit eingefangen(agent), was tun? - Standard

evt. rootkit eingefangen(agent), was tun?



das mit der Backdoorfunktion ist mir neu. Würde aber den Befall erklären.
Die angesprochenen Sachen hab ich seit ca. 2004 auf der Festplatte und habe sie selbst von Bekannten bekommen.
(Denke wir alle haben sowas mal in unterschiedlicher Ausprägung gemacht)
Sowas mit dem Neuaufsetzen nicht mehr aufgespielt, danke für den Hinweis!!!!
Es wäre mir so wohl nie mehr aufgefallen!

dann nehme ich das als Chance mich dieser Altlasten zu entledigen.
Externe Platte ist bestellt, setzte kommende Woche neu auf.

Kann mein Forenaccount bestehen bleiben oder bin ich direkt für immer gesperrt/von Hilfe ausgeschlossen ?

In dem Fall würde ich gerne um Löschung dieses threats und meines Accounts bitten!

Tut mir leid dass ich (unwissentlich) gegen die Forenregeln verstoßen habe.
__________________

Geändert von bitburger1 (15.09.2010 um 16:26 Uhr)

Alt 15.09.2010, 16:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
evt. rootkit eingefangen(agent), was tun? - Standard

evt. rootkit eingefangen(agent), was tun?



Dein Konto bleibt, nur gibt es für das System in dieser Konfig keinen Bereinigungssupport.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.09.2010, 16:30   #5
bitburger1
 
evt. rootkit eingefangen(agent), was tun? - Standard

evt. rootkit eingefangen(agent), was tun?



alles klar danke.

System kommt neu.
Werd später die von Euch empfohlenen Service Progs nehmen wie Ccleander statt meinem reg-cleaner
und etwas einlesen, hab mich Jahre nicht mehr damit befasst.
Würd mich freuen wenn ich mich bei Problemen irgendwann wieder
melden kann.



Antwort

Themen zu evt. rootkit eingefangen(agent), was tun?
0 bytes, agent, anti vir, audiograbber, aufhängen, components, druck, forum, gen, google, hallo zusammen, jahre, jusched.exe, kurze, langsam, lüfter, national, neustart, nicht mehr, nt.dll, probleme, programme, quarantäne, rechner, rootkit, rootkits, sched.exe, signatur, skype.exe, tr/spy., trotz, updates, usb 2.0, verschieben, verweise, virus gefunden, was tun, was tun?, windows, windows recovery, ändern



Ähnliche Themen: evt. rootkit eingefangen(agent), was tun?


  1. Unknowen.RootKit.VBR eingefangen! Was nun?
    Log-Analyse und Auswertung - 20.03.2014 (12)
  2. Trojan.Agent und Backdoor.Agent eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.11.2013 (18)
  3. ihavenet Rootkit eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (7)
  4. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  5. Rootkit eingefangen?
    Log-Analyse und Auswertung - 09.02.2012 (9)
  6. Rootkit Win32.TDss eingefangen :( (Malware)
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (1)
  7. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  8. Rootkit.Agent..
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (5)
  9. rootkit.agent
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (29)
  10. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  11. Rootkit eingefangen / Popups
    Mülltonne - 22.07.2009 (0)
  12. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  13. Rootkit.Agent
    Log-Analyse und Auswertung - 22.12.2008 (0)
  14. Rootkit.gen eingefangen?
    Log-Analyse und Auswertung - 11.10.2008 (5)
  15. TR/Rootkit.Gen eingefangen; Leistungsverlust
    Plagegeister aller Art und deren Bekämpfung - 06.08.2008 (2)
  16. Rootkit eingefangen?
    Log-Analyse und Auswertung - 17.01.2007 (9)
  17. Rootkit eingefangen?
    Mülltonne - 15.01.2007 (1)

Zum Thema evt. rootkit eingefangen(agent), was tun? - Hallo zusammen, habe dieses Forum eben via google gefunden, da ich wohl Probleme mit meinem Rechner habe, von denen ich bislang garnichts wusste. Ich würde mich sehr freuen wenn ihr - evt. rootkit eingefangen(agent), was tun?...
Archiv
Du betrachtest: evt. rootkit eingefangen(agent), was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.