Trojaner-Board - Windows Security Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Security Alert (https://www.trojaner-board.de/61052-windows-security-alert.html)

Windows Security Alert

Hallo!!

Ich hab zwar schon gesehen, dass viele das gleiche Problem hatten, aber offensichtlich hat es nicht bei jedem die gleiche Ursache. Deshalb hab ich in die FAQ geschaut und dort gelesen, dass man mit Hilfe des Programms HijackThis das System auswerten lassen soll, und dann das Log-File hier posten soll. Ich habe leider nicht so viel Ahnung davon um es selbst auszuwerten, da würde ich mein System wahrscheinlich nur noch mehr ruinieren, deshalb dieser Weg.
Nun zum eigentlichen Problem:

Ich kriege in unregelmäßigen Abständen, also alle 5-30 Minuten eine Warnung von der Windows-Firewall, was mich schonmal sehr verwundert, da diese eigentlich deaktiviert ist. In diesen Warnungen werden mir verschiedene vermeindliche Trojaner genannt, wie
Trojan-Clicker.Win32.Tiny.h
Trojan-Spy.Win32.GreenScreen

und mir wird angeboten ganz tolle Sowtware zu kaufen, die das ganze richten soll. Das ganze habe ich dann gegoogelt und bin auf dieses Forum gestoßen. Nun habe ich HiJackThis mein System überprüfen lassen und hoffe, dass mir jemand bei der Auswertung helfen kann.

Hier also das Log-File:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:49:47, on 01.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\jyxcfmxk.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

F:\Tools\Sicherheit\HiJackThis.exe

C:\WINDOWS\system32\jyxcfmxk.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

O4 - HKLM\..\RunOnce: [SpybotDeletingA8715] command /c del "C:\WINDOWS\system32\smp\msrc.exe"

O4 - HKLM\..\RunOnce: [SpybotDeletingC4345] cmd /c del "C:\WINDOWS\system32\smp\msrc.exe"

O4 - HKCU\..\Run: [InfoUiEn] C:\WINDOWS\system32\jyxcfmxk.exe

O4 - HKCU\..\RunOnce: [SpybotDeletingB181] command /c del "C:\WINDOWS\system32\smp\msrc.exe"

O4 - HKCU\..\RunOnce: [SpybotDeletingD4924] cmd /c del "C:\WINDOWS\system32\smp\msrc.exe"

O4 - HKLM\..\Policies\Explorer\Run: [cCNaL151vH] F:\Tools\Guitar Pro 5\Guitar.Pro.5.2.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153754625156

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O21 - SSODL: dbchkapl - {1A3EB253-1090-DA57-557C-06CE27F92EAD} - C:\Programme\odjdprf\dbchkapl.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 4618 bytes

Ich hoffe ich habe keinen Link oder Namen übersehen, der da nicht reingehört. :)
Sollte ich etwas falsch gemacht haben bitte ich um Entschuldigung und einen kurzen Hinweis.
Vielen Dank schonmal im Voraus!!!!

Gruß Alcatraz

Hallo 41catraz und

http://www.mysmilie.de/generator/ablage/156/257.png

Das sieht nach einer klassischen Vundo-Infektion aus, daher folgende Schritte durchführen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Programme\odjdprf\dbchkapl.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Erstmal vielen, vielen Dank für die schnelle Antwort!!!!

VirusTotal zur dbchkapl.dll:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.10.2.0        2008.10.02        -

AntiVir        7.8.1.34        2008.10.01        -

Authentium        5.1.0.4        2008.10.02        -

Avast        4.8.1248.0        2008.10.01        Win32:PureMorph

AVG        8.0.0.161        2008.10.01        -

BitDefender        7.2        2008.10.02        -

CAT-QuickHeal        9.50        2008.10.01        -

ClamAV        0.93.1        2008.10.02        -

DrWeb        4.44.0.09170        2008.10.02        -

eSafe        7.0.17.0        2008.10.01        -

eTrust-Vet        31.6.6121        2008.10.02        -

Ewido        4.0        2008.10.01        -

F-Prot        4.4.4.56        2008.09.30        -

F-Secure        8.0.14332.0        2008.10.02        Trojan.Win32.Obfuscated.gx

Fortinet        3.113.0.0        2008.10.02        -

GData        19        2008.10.02        Win32:PureMorph

Ikarus        T3.1.1.34.0        2008.10.02        Virus.Trojan.Win32.Obfuscated.gx

K7AntiVirus        7.10.479        2008.10.01        -

Kaspersky        7.0.0.125        2008.10.02        Trojan.Win32.Obfuscated.gx

McAfee        5396        2008.10.02        -

Microsoft        1.4005        2008.10.02        -

NOD32        3488        2008.10.02        -

Norman        5.80.02        2008.10.01        -

Panda        9.0.0.4        2008.10.02        -

PCTools        4.4.2.0        2008.10.01        -

Prevx1        V2        2008.10.02        -

Rising        20.63.62.00        2008.09.28        Packer.Win32.Mian007.a

SecureWeb-Gateway        6.7.6        2008.10.02        -

Sophos        4.34.0        2008.10.02        Mal/EncPk-DG

Sunbelt        3.1.1668.1        2008.09.24        -

Symantec        10        2008.10.02        -

TheHacker        6.3.0.9.098        2008.10.01        -

TrendMicro        8.700.0.1004        2008.10.02        -

VBA32        3.12.8.6        2008.10.02        -

ViRobot        2008.10.1.1402        2008.10.02        -

VirusBuster        4.5.11.0        2008.10.01        -

weitere Informationen

File size: 126976 bytes

MD5...: 7fe31005c6bd589127cbe50e7466f544

SHA1..: d90b6395353273a0216ce06fd5bd10d57cd28110

SHA256: 9bac6d1a77ba82081cbecc9c9ff210b02fc17fbd7ce8e83fd9400e9c74278f68

SHA512: e32c0682e7c92231c1e6cb8b3b2289791b69cdebe6be13be43d310cdfcff894e

a213b9b33aecd244d8a2fdb3b9379e5e8810f0424bb209a766e4e682a9750f04

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1000db73

timedatestamp.....: 0x48e1f9a4 (Tue Sep 30 10:04:20 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.vklwst 0x1000 0x19864 0x1a000 6.85 5aeac75eebfeb6bf0c1e0aa01430fc7f

.urilkx 0x1b000 0x453 0x1000 1.91 0606c04676e6cf8dd233e0c91ddad682

.zzrpff 0x1c000 0x1f60 0x1000 0.51 948e7d598cfe65aecc7486996777064b

.reloc 0x1e000 0x193c 0x2000 5.99 b4cdd0534c37ded4f7b937fbb99bfc36
 

( 2 imports )

> KERNEL32.dll: InterlockedDecrement, FreeResource, FindFirstChangeNotificationW, LoadLibraryA, ReadFile, InterlockedIncrement, GlobalDeleteAtom, CreateProcessW, FreeLibrary, GetCurrentThreadId, MoveFileW, ResumeThread, MultiByteToWideChar, SetThreadPriority, LockResource, LoadResource, LoadLibraryW, CloseHandle, DeleteFileW, GetFileAttributesW, GetProcAddress

> GDI32.dll: GetObjectW, CreateBitmap, CreateRoundRectRgn, MoveToEx, CreateFontIndirectW, SetBkMode, CreateDCW, GetClipBox, CreateSolidBrush, CreateCompatibleBitmap, CreateCompatibleDC
 

( 4 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Und das Combofix-Logfile:

Code:

ComboFix 08-10-01.02 - *** 2008-10-02  2:15:02.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.270 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_MCHINJDRV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-09-02 bis 2008-10-02  ))))))))))))))))))))))))))))))

.
 

2008-10-02 02:08 . 2008-10-02 02:08        <DIR>        d----c---        C:\Programme\CCleaner

2008-10-01 03:23 . 2008-10-01 03:23        <DIR>        d----c---        C:\Programme\Enigma Software Group

2008-09-30 13:21 . 2008-09-30 13:21        355,584        --a--c---        C:\WINDOWS\system32\TuneUpDefragService.exe

2008-09-30 13:21 . 2008-05-17 14:56        28,416        --a--c---        C:\WINDOWS\system32\uxtuneup.dll

2008-09-30 13:17 . 2008-09-30 13:17        <DIR>        d----c---        C:\Programme\odjdprf

2008-09-30 13:17 . 2008-09-30 13:17        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mbqxqxuf

2008-09-30 13:17 . 2008-09-30 13:17        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jkxeterw

2008-09-30 13:16 . 2008-09-30 13:16        94,208        --a--c---        C:\WINDOWS\system32\jyxcfmxk.exe

2008-09-23 20:06 . 2008-10-02 00:22        <DIR>        d----c---        C:\Dokumente und Einstellungen\***\Anwendungsdaten\HLSW
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-02 00:11        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-10-01 18:06        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-10-01 01:25        ---------        dc----w        C:\Programme\exen

2008-09-30 17:18        ---------        dc----w        C:\Programme\Spybot - Search & Destroy

2008-09-30 11:21        ---------        dc----w        C:\Programme\TuneUp Utilities 2008

2008-09-29 12:39        ---------        dc----w        C:\Programme\mIRC

2008-09-23 10:43        ---------        dc----w        C:\Programme\ICQ6

2008-09-03 15:42        ---------        dc----w        C:\Programme\Messenger Plus! Live

2008-08-26 20:06        ---------        dc----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM

2008-08-26 12:27        ---------        dc----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\mIRC

2007-12-22 17:22        53,400        -c--a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
 

(((((((((((((((((((((((((((((   snapshot@2008-10-02_ 1.58.38.54   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-10-01 13:53:03        74,996        ----a-w        C:\WINDOWS\system32\perfc007.dat

+ 2008-10-02 00:10:13        74,996        ----a-w        C:\WINDOWS\system32\perfc007.dat

- 2008-10-01 13:53:03        62,344        ----a-w        C:\WINDOWS\system32\perfc009.dat

+ 2008-10-02 00:10:13        62,344        ----a-w        C:\WINDOWS\system32\perfc009.dat

- 2008-10-01 13:53:03        415,470        ----a-w        C:\WINDOWS\system32\perfh007.dat

+ 2008-10-02 00:10:13        415,470        ----a-w        C:\WINDOWS\system32\perfh007.dat

- 2008-10-01 13:53:03        401,064        ----a-w        C:\WINDOWS\system32\perfh009.dat

+ 2008-10-02 00:10:13        401,064        ----a-w        C:\WINDOWS\system32\perfh009.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"dbchkapl"= {1A3EB253-1090-DA57-557C-06CE27F92EAD} - C:\Programme\odjdprf\dbchkapl.dll [2008-09-30 126976]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= divxa32.acm

"VIDC.MJPG"= Pvmjpg30.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"vidc.3iv2"= 3ivxVfWCodec.dll

"VIDC.HFYU"= huffyuv.dll

"VIDC.i263"= i263_32.drv

"msacm.imc"= imc32.acm

"VIDC.VP31"= vp31vfw.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]

backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]

backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Screen Saver Control.lnk]

backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]

--a--c--- 2007-08-30 13:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a--c--- 2008-07-17 20:23 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a--c--- 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a--c--- 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C84 Series]

--a--c--- 2003-09-12 03:00 99840 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0D2.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]

--a--c--- 2008-09-01 17:08 173304 C:\PROGRA~1\ICQ6\ICQ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoUiEn]

--a--c--- 2008-09-30 13:16 94208 C:\WINDOWS\system32\jyxcfmxk.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]

--a--c--- 2004-03-11 00:26 406016 C:\WINDOWS\system32\PSDrvCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a--c--- 2006-07-24 17:58 155648 C:\Programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a--c--- 2004-11-02 20:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

-----c--- 2008-08-18 18:41 1832272 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]

--a--c--- 2008-09-10 17:16 864256 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a--c--- 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

--a--c--- 2008-03-30 21:29 1271032 D:\Steam\Steam.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a--c--- 2005-06-03 03:52 36975 C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]

--a--c--- 2007-10-30 19:45 1885464 C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]

--a--c--- 2007-12-07 10:42 9479448 C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra--c--- 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]

--a--c--- 2007-06-13 21:17 26112 C:\WINDOWS\system32\Ati2mdxx.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

-----c--- 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]

--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]

--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a--c--- 2005-11-11 14:07 90112 C:\WINDOWS\soundman.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"StarWindService"=2 (0x2)

"MDM"=2 (0x2)

"iPodService"=3 (0x3)

"IDriverT"=3 (0x3)

"Ati HotKey Poller"=2 (0x2)

"NVSvc"=2 (0x2)

"ATI Smart"=2 (0x2)

"aawservice"=2 (0x2)

"usnjsvc"=3 (0x3)

"ServiceLayer"=3 (0x3)

"TuneUp.Defrag"=3 (0x3)

"AntiVirService"=2 (0x2)

"AntiVirScheduler"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=

"D:\\Steam\\Steam.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 32768]

S4 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]

S4 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-30 355584]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners

.

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\covty7pl.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de

FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava11.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava12.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava13.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava14.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava32.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPOJI610.dll

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmusicn.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-02 02:17:42

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\ComboFix\pv.cfexe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-02  2:20:34 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-10-02 00:20:31
 

Vor Suchlauf: 332.095.488 Bytes frei

Nach Suchlauf: 340,406,272 Bytes frei
 

211

Ich hoffe das bringt ein bisschen Aufklärung!! :)

Gruß Alcatraz

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"dbchkapl"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoUiEn]
 

FILE::

C:\Programme\odjdprf\dbchkapl.dll

C:\WINDOWS\system32\jyxcfmxk.exe
 
 

FOLDER::

C:\Programme\odjdprf

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mbqxqxuf

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jkxeterw

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Combofix-Log:

Code:

ComboFix 08-10-05.03 - *** 2008-10-06  1:02:53.3 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.267 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
 

FILE ::

C:\Programme\odjdprf\dbchkapl.dll

C:\WINDOWS\system32\jyxcfmxk.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jkxeterw

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mbqxqxuf

C:\Programme\odjdprf

C:\Programme\odjdprf\dbchkapl.dll

C:\WINDOWS\system32\jyxcfmxk.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))

.
 

2008-10-02 02:08 . 2008-10-02 02:08        <DIR>        d----c---        C:\Programme\CCleaner

2008-10-01 03:23 . 2008-10-01 03:23        <DIR>        d----c---        C:\Programme\Enigma Software Group

2008-09-30 13:21 . 2008-09-30 13:21        355,584        --a--c---        C:\WINDOWS\system32\TuneUpDefragService.exe

2008-09-30 13:21 . 2008-05-17 14:56        28,416        --a--c---        C:\WINDOWS\system32\uxtuneup.dll

2008-09-23 20:06 . 2008-10-06 00:25        <DIR>        d----c---        C:\Dokumente und Einstellungen\***\Anwendungsdaten\HLSW
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-02 01:54        ---------        dc----w        C:\Programme\exen

2008-10-02 00:11        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-10-01 18:06        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-09-30 17:18        ---------        dc----w        C:\Programme\Spybot - Search & Destroy

2008-09-30 11:21        ---------        dc----w        C:\Programme\TuneUp Utilities 2008

2008-09-29 12:39        ---------        dc----w        C:\Programme\mIRC

2008-09-23 10:43        ---------        dc----w        C:\Programme\ICQ6

2008-09-03 15:42        ---------        dc----w        C:\Programme\Messenger Plus! Live

2008-08-26 20:06        ---------        dc----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM

2008-08-26 12:27        ---------        dc----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\mIRC

2007-12-22 17:22        53,400        -c--a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
 

(((((((((((((((((((((((((((((   snapshot@2008-10-02_ 1.58.38.54   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-10-01 13:53:03        74,996        ----a-w        C:\WINDOWS\system32\perfc007.dat

+ 2008-10-05 22:16:16        74,996        ----a-w        C:\WINDOWS\system32\perfc007.dat

- 2008-10-01 13:53:03        62,344        ----a-w        C:\WINDOWS\system32\perfc009.dat

+ 2008-10-05 22:16:16        62,344        ----a-w        C:\WINDOWS\system32\perfc009.dat

- 2008-10-01 13:53:03        415,470        ----a-w        C:\WINDOWS\system32\perfh007.dat

+ 2008-10-05 22:16:16        415,470        ----a-w        C:\WINDOWS\system32\perfh007.dat

- 2008-10-01 13:53:03        401,064        ----a-w        C:\WINDOWS\system32\perfh009.dat

+ 2008-10-05 22:16:17        401,064        ----a-w        C:\WINDOWS\system32\perfh009.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= divxa32.acm

"VIDC.MJPG"= Pvmjpg30.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"vidc.3iv2"= 3ivxVfWCodec.dll

"VIDC.HFYU"= huffyuv.dll

"VIDC.i263"= i263_32.drv

"msacm.imc"= imc32.acm

"VIDC.VP31"= vp31vfw.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]

backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]

backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Screen Saver Control.lnk]

backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]

--a--c--- 2007-08-30 13:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a--c--- 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a--c--- 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C84 Series]

--a--c--- 2003-09-12 03:00 99840 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0D2.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]

--a--c--- 2008-09-01 17:08 173304 C:\PROGRA~1\ICQ6\ICQ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a--c--- 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]

--a--c--- 2004-03-11 00:26 406016 C:\WINDOWS\system32\PSDrvCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a--c--- 2006-07-24 17:58 155648 C:\Programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a--c--- 2004-11-02 20:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

-----c--- 2008-08-18 18:41 1832272 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]

--a--c--- 2008-09-10 17:16 864256 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a--c--- 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

--a--c--- 2008-03-30 21:29 1271032 D:\Steam\Steam.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a--c--- 2005-06-03 03:52 36975 C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]

--a--c--- 2007-10-30 19:45 1885464 C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]

--a--c--- 2007-12-07 10:42 9479448 C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra--c--- 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]

--a--c--- 2007-06-13 21:17 26112 C:\WINDOWS\system32\Ati2mdxx.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

-----c--- 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]

--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]

--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a--c--- 2005-11-11 14:07 90112 C:\WINDOWS\soundman.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"StarWindService"=2 (0x2)

"MDM"=2 (0x2)

"iPodService"=3 (0x3)

"IDriverT"=3 (0x3)

"Ati HotKey Poller"=2 (0x2)

"NVSvc"=2 (0x2)

"ATI Smart"=2 (0x2)

"aawservice"=2 (0x2)

"usnjsvc"=3 (0x3)

"ServiceLayer"=3 (0x3)

"TuneUp.Defrag"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=

"E:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=

"D:\\Steam\\Steam.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 32768]

S4 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]

S4 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-30 355584]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-05 C:\WINDOWS\Tasks\1-Klick-Wartung.job

- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-05-17 15:04]
 

2008-09-22 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job

- C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2007-12-07 10:42]
 

2007-12-17 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job

- C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2007-12-07 10:42]

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-06 01:04:18

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-06  1:05:50

ComboFix-quarantined-files.txt  2008-10-05 23:05:43

ComboFix2.txt  2008-10-02 00:20:35
 

Vor Suchlauf: 283.942.912 Bytes frei

Nach Suchlauf: 286,883,840 Bytes frei
 

192

Aber nachdem, der Suchlauf beendet wurde kamen 2 Fehlermeldungen.

#1:
TeaTimer.exe - Fehler in der Anwendung
Die Ausnahme "Unbekannter Softwarefehler" (0x0eedfade) ist in der Anwendung an der Stelle 0x7c81eb33 aufgetreten.
Ok - Abbrechen
Da habe ich dann auf Ok geklickt.

#2:
Application Error
Exeption EOutOfResources in Module TeaTimer.exe at 000468FC.
Cannot create shell notification icon.
Ok
Da konnte ich dann nur auf Ok klicken.

Von Malwarebytes' Anti-Malware wurde zwar nichts gefunden, hier trotzdem die Logdatei:

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1231

Windows 5.1.2600 Service Pack 2
 

06.10.2008 02:15:15

mbam-log-2008-10-06 (02-15-15).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)

Durchsuchte Objekte: 113633

Laufzeit: 51 minute(s), 6 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hi,
das Log sieht gut aus. Hast du noch Probleme?

lg myrtille

Also, das ursprüngliche Problem ist behoben, aber eben hat AntiVir sich gemeldet:

In der Datei 'C:\System Volume Information\_restore{1CB51EA4-6D86-4575-B119-A32C0B5F8706}\RP102\A0012702.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.GX.2017' [trojan] gefunden.

Ich habe dann auf "löschen" geklickt, hoffe das war richtig so.

Nebenbei nochmal vielen, vielen Dank für die schnelle und vor allem gute Hilfe!!!! Ich werde das Forum auf jeden Fall weiterempfehlen, findet man nicht oft sowas... alles perfekt erklärt in den Beiträgen, dass man nicht lange nachfragen muss!! :)

Gruß Alcatraz

Hi,

Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst.

Dann sollte Antivir auch in System Restore nichts mehr finden. :)

Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

Poste bitte danach noch ein letztes Hijackthis log :)

lg myrtille

HijackThis-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:40:51, on 07.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Mozilla Firefox\firefox.exe

F:\Tools\Sicherheit\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153754625156

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h**p://w*w.sibelius.com/download/software/win/ActiveXPlugin.cab

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
 

--

End of file - 3589 bytes

Hi,

sieht gut aus. Hast du noch Probleme mit dem Rechner?

Wenn nicht, sollte es das gewesen sein.

lg myrtille

Nein, nun ist wieder alles ok! Vielen, vielen Dank nochmal!!!! :)

Gruß Alcatraz