Trojaner-Board - Wiederkehrender TR/Spy.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Wiederkehrender TR/Spy.Gen (https://www.trojaner-board.de/65550-wiederkehrender-tr-spy-gen.html)

Wiederkehrender TR/Spy.Gen

Hallo erst mal,

ich hoffe, das ist das richtige Sub-Forum.

Ich sitze hier an einem IBM Thinkpad mit Windows XP. Das begann vor einigen Wochen, langsamer zu werden und mit Flash zu zicken. Als Pessimist habe ich dann mal den Avira Virenscanner, Spybot und Hijackthis drüber laufen lassen. Neben einigen Kleinigkeiten fand sich leider auch besagter TR/Spy.Gen darunter. Ich habe ihm dann entweder den Zugriff verweigert oder gelöscht, je nach dem, wo er sich befand. Der PC war nach der ganzen Säuberungsaktion auch erfreulich schneller.

Nur leider kriege ich die Meldung bezüglich des TR immer mal wieder, selbst wenn ich ihn schon löschen lies. Er setzt sich leider primär im system Ordner in DLL Dateien ab, und ich weiß nicht wirklich, ob ich die alle löschen sollte. Zudem hatte ich auch schon nach Systemscans 0 gefundene Viren und am nächsten Tag schlug der Scanner auf einmal wieder aus. Aber aus dem nichts kann der Virus ja kaum kommen?!

Zwischenfrage zudem: Kann ich solche DLLs dann einfach löschen lassen, oder wäre das eher unklug?

Vorhin bekam ich auch drei mal direkt nacheinander die Meldung - nachdem ich die Remote Unterstützung starten wollte zweimal, und nachdem ich Irfan View starten wollte direkt noch mal. Wieder im System Ordner.

Hijackthis Log im Anschluss (habe auch schon mit umbenanntem Hijackthis gescannt). Laut hijackthis.de befindet sich nichts verdächtiges darunter, aber irgendwas MUSS ja sein. Verdächtiges meldete die Site übrigens auch zu dem Zeitpunkt, an dem ich noch nichts mit Avira löschen / verhindern lies, noch nicht.

Nun denn... was habe ich zu befürchten, und was sollte ich tun?

Randbemerkung: Mein PC hat auch gelegentlich Probleme, "raus" zu kommen, sprich Programme direkt mit dem Internet zu verbinden, was sich vor allem bei Updates oder Programmen, die Sachen bei der Installation erst laden, als ärgerlich erweist - Windows schließt die dann teilweise auch einfach mit einer Fehlermeldung. Kann das damit zusammenhängen?

Dass eine Neuinstallation letztlich ratsam wäre, ist mir auch klar, nur würde ich das gerne bis in die Weihnachtsferien verschieben und unter Umständen vorher wenigstens den PC Störfaktorenfrei machen und meine Passwörter "anonym" wieder ändern, damit keiner sie missbrauchen kann oder sonst was.
Ich bin bezüglich der Gefahren und Möglichkeiten dessen, was mir droht eher paranoid als informiert. Allerdings ging ich ja auch fälschlicherweise davon aus, dass das nicht-Herunterladen von Warez und sonst was und das Surfen mit "denken bevor man klickt" mich vor Viren schützen würde. Ein "Ableger" des Virus fand sich übrigens auch im UltraStar Ordner (wieder in einer DLL), und das hatte ich entweder von chip.de oder von der offiziellen Seite, also könnte ich mir das uU da gefangen haben, ansonsten habe ich keine Ahnung.
Ich wüsste halt auch gerne, was ich da zukünftig tun kann, um eine Wiederholung zu vermeiden.

EDIT: Ich sehe gerade, sogar in "System Volume Information" ist der Trojaner drin, dabei habe ich nie gesichert... kann er daher stammen? Ich habe den PC gebraucht gekauft und Win automatisch aufsetzen lassen.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:56:50, on 01.12.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\TpShocks.exe

C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe

C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe

C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\system32\spoolsv.exe

C:\IBMTOOLS\UTILS\ibmprc.exe

C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\IBM\Messages By IBM\ibmmessages.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TPHDEXLG.EXE

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Programme\Miranda IM\miranda32.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe

C:\Programme\IrfanView\i_view32.exe

C:\Programme\Trend Micro\HijackThis\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe

O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor

O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

O11 - Options group: [JAVA_IBM] Java (IBM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208985441156

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208985807609

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BAA3D7D-E348-446F-ABBA-642AE7C075C7}: NameServer = 195.50.140.252 195.50.140.114

O20 - Winlogon Notify: acpiz - acpiz.dll (file missing)

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
 

--

End of file - 7286 bytes

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Zitat:

Zitat von root24 (Beitrag 396267)

Hallo und :hallo:

Hallo :o und Danke schon mal für die ausführliche Anleitung und smileyhafte Begrüssung :D

Zitat:

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Zitat:

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

Code:

12/02/08 01:02:38 [Info]: BlackLight Engine 2.2.1092 initialized

12/02/08 01:02:38 [Info]: OS: 5.1 build 2600 (Service Pack 3)

12/02/08 01:02:39 [Note]: 7019 4

12/02/08 01:02:39 [Note]: 7005 0

12/02/08 01:02:42 [Note]: 7006 0

12/02/08 01:02:43 [Note]: 7011 388

12/02/08 01:02:43 [Note]: 7035 0

12/02/08 01:02:43 [Note]: 7026 0

12/02/08 01:02:43 [Note]: 7026 0

12/02/08 01:02:44 [Note]: FSRAW library version 1.7.1024

12/02/08 01:08:08 [Note]: 2000 1012

12/02/08 01:12:33 [Note]: 7007 0

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1442

Windows 5.1.2600 Service Pack 3
 

02.12.2008 01:54:36

mbam-log-2008-12-02 (01-54-36).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 48327

Laufzeit: 3 minute(s), 42 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

[code]

Zitat:

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"ibmmessages" = "C:\Programme\IBM\Messages By IBM\ibmmessages.exe" ["IBM"]

"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]

"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

"TPKMAPHELPER" = "C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper" ["IBM Corp."]

"TpShocks" = "TpShocks.exe" ["IBM Corp."]

"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]

"TP4EX" = "tp4ex.exe" ["IBM Corporation"]

"EZEJMNAP" = "C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" ["IBM Corp."]

"SoundMAXPnP" = "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]

"SoundMAX" = "C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray" ["Analog Devices, Inc."]

"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]

"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]

"(Default)" = "(empty string)" [file not found]

"IBMPRC" = "C:\IBMTOOLS\UTILS\ibmprc.exe" ["IBM Corp."]

"QCWLICON" = "C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" ["IBM Corp."]

"PWRMGRTR" = "rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor" [MS]

"BLOG" = "rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog" [MS]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]

"QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."]

"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
 

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\

>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"

                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]

>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"

                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Java(tm) Plug-In SSV Helper"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\ssv.dll" ["Sun Microsystems, Inc."]

{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]

{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"

  -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {HKLM...CLSID} = "Portable Media Devices Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"

  -> {HKLM...CLSID} = "Bluetooth-Umgebung"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["Broadcom Corporation"]

"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"

  -> {HKLM...CLSID} = "RecordNow! SendToExt"

                   \InProcServer32\(Default) = "C:\Programme\IBM RecordNow!\shlext.dll" [null data]

"{E91B2703-013E-4A99-AD33-2B6FB00AA356}" = "RecordNow! ContextMenuExt"

  -> {HKLM...CLSID} = "RecordNow! ContextMenuExt"

                   \InProcServer32\(Default) = "C:\Programme\IBM RecordNow!\shlext.dll" [null data]

"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"

  -> {HKLM...CLSID} = "DriveLetterAccess"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"

  -> {HKLM...CLSID} = "7-Zip Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\

<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> acpiz\DLLName = "acpiz.dll" [file not found]

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

<<!>> QConGina\DLLName = "QConGina.dll" ["IBM Corp."]

<<!>> tphotkey\DLLName = "tphklock.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.4\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"

  -> {HKLM...CLSID} = "7-Zip Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"

  -> {HKLM...CLSID} = "7-Zip Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\1024 x 768 IBM EMEA Map.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\1024 x 768 IBM EMEA Map.bmp"
 
 

Enabled Screen Saver:

---------------------
 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

IviDVDEventHandler\

"Provider" = "InterVideo WinDVD"

"InvokeProgID" = "Ivi.MediaFile"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\Ivi.MediaFile\shell\play\command\(Default) = "C:\Programme\InterVideo\WinDVD\WinDVD.exe %1" ["InterVideo Inc."]
 

IviVideoCameraArrival\

"Provider" = "WinDVD Creator"

"ProgID" = "Shell.HWEventHandlerShellExecute"

"InitCmdLine" = ""C:\Programme\InterVideo\WCreator2\WCreator.exe" --capture"

HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"

                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
 

IviVideoCDHandler\

"Provider" = "InterVideo WinDVD"

"InvokeProgID" = "Ivi.MediaFile"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\Ivi.MediaFile\shell\play\command\(Default) = "C:\Programme\InterVideo\WinDVD\WinDVD.exe %1" ["InterVideo Inc."]
 

SonicRnAudioCD\

"Provider" = "IBM RecordNow!"

"InvokeProgID" = "Sonic.RecordNow"

"InvokeVerb" = "AudioCDJob"

HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\AudioCDJob\Command\(Default) = ""C:\Programme\IBM RecordNow!\RecordNow.exe" /AudioCDJob %L" [null data]
 

SonicRnBurnAudioCD\

"Provider" = "IBM RecordNow!"

"InvokeProgID" = "Sonic.RecordNow"

"InvokeVerb" = "AudioCDTarget"

HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\AudioCDTarget\Command\(Default) = ""C:\Programme\IBM RecordNow!\RecordNow.exe" /AudioCDTarget %L" [null data]
 

SonicRnBurnDataDisc\

"Provider" = "IBM RecordNow!"

"InvokeProgID" = "Sonic.RecordNow"

"InvokeVerb" = "DataDiscTarget"

HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\DataDiscTarget\Command\(Default) = ""C:\Programme\IBM RecordNow!\RecordNow.exe" /DataDiscTarget %L" [null data]
 

SonicRnCopyCD\

"Provider" = "IBM RecordNow!"

"InvokeProgID" = "Sonic.RecordNow"

"InvokeVerb" = "CopyDiscJob"

HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\CopyDiscJob\Command\(Default) = ""C:\Programme\IBM RecordNow!\RecordNow.exe" /CopyDiscJob %L" [null data]
 

SonicRnCopyDisc\

"Provider" = "IBM RecordNow!"

"InvokeProgID" = "Sonic.RecordNow"

"InvokeVerb" = "CopyDiscJob"

HKLM\SOFTWARE\Classes\Sonic.RecordNow\shell\CopyDiscJob\Command\(Default) = ""C:\Programme\IBM RecordNow!\RecordNow.exe" /CopyDiscJob %L" [null data]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]

Avira AntiVir Personal - Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]

Avira AntiVir Personal - Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]

Bluetooth Service, btwdins, "C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation"]

Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\Cisco Systems\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]

IBM HDD APS Logging Service, TPHDEXLGSVC, "System32\TPHDEXLG.EXE" ["IBM Corporation"]

IBM KCU Service, TpKmpSVC, "C:\WINDOWS\system32\TpKmpSVC.exe" [null data]

IBM PM Service, IBMPMSVC, "C:\WINDOWS\system32\ibmpmsvc.exe" [null data]

IBM Rapid Restore Ultra Service, IBM Rapid Restore Ultra Service, ""C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe"" [empty string]

Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."]

Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]

QCONSVC, QCONSVC, "System32\QCONSVC.EXE" ["IBM Corp."]

SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
 
 

Keyboard Driver Filters:

------------------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\

"UpperFilters" = <<!>> "TPInput" ["IBM Corporation"]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" ["Broadcom Corporation"]

Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]
 
 

---------- (launch time: 2008-12-02 00:51:54)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 45 seconds, including 16 seconds for message boxes)

Zitat:

5.) ComboFix

Code:

ComboFix 08-12-01.01 - X 2008-12-02  1:33:50.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1109 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\X\Desktop\GODDAMN\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-11-02 bis 2008-12-02  ))))))))))))))))))))))))))))))

.
 

2008-12-02 00:38 . 2008-12-02 00:38        <DIR>        d--------        c:\programme\CCleaner

2008-12-01 22:29 . 2008-12-01 22:29        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-12-01 22:29 . 2008-12-01 22:29        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-12-01 22:29 . 2008-12-01 22:29        <DIR>        d--------        c:\dokumente und einstellungen\X\Anwendungsdaten\Malwarebytes

2008-12-01 22:29 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-01 22:29 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-12-01 03:09 . 2008-12-01 03:08        410,976        --a------        c:\windows\system32\deploytk.dll

2008-11-23 03:59 . 2008-11-23 03:59        <DIR>        d--------        c:\windows\IBM

2008-11-12 03:59 . 2008-09-04 18:15        1,106,944        ---------        c:\windows\system32\dllcache\msxml3.dll

2008-11-12 03:59 . 2008-10-24 12:21        455,296        ---------        c:\windows\system32\dllcache\mrxsmb.sys

2008-11-08 02:50 . 2008-11-08 03:47        <DIR>        d--------        c:\programme\Spybot - Search & Destroy

2008-11-08 02:50 . 2008-12-02 00:41        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-11-08 01:06 . 2008-11-08 01:06        <DIR>        d--------        c:\programme\Avira

2008-11-08 01:06 . 2008-11-08 01:06        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2008-11-08 00:38 . 2008-11-08 00:38        <DIR>        d--------        c:\programme\Lavasoft

2008-11-08 00:38 . 2008-11-08 00:39        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-11-08 00:37 . 2008-11-08 00:37        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2008-11-08 00:36 . 2008-11-08 00:36        <DIR>        d--------        c:\programme\Trend Micro
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-01 23:08        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype

2008-12-01 21:55        ---------        d-----w        c:\dokumente und einstellungen\X\Anwendungsdaten\OpenOffice.org2

2008-12-01 02:08        ---------        d-----w        c:\programme\Java

2008-11-29 20:49        ---------        d-----w        c:\programme\Soulseek

2008-11-24 22:29        ---------        d-----w        c:\dokumente und einstellungen\X\Anwendungsdaten\mIRC

2008-11-24 21:51        ---------        d-----w        c:\programme\mIRC

2008-11-22 19:05        ---------        d-----w        c:\programme\Songs

2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys

2008-10-22 02:04        ---------        d-----w        c:\programme\Winamp

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"ibmmessages"="c:\programme\IBM\Messages By IBM\ibmmessages.exe" [2004-08-06 442368]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-08 110592]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-08 512000]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2004-02-04 897024]

"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-04-04 94208]

"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2005-03-23 217088]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-10 344064]

"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-03-07 122939]

"IBMPRC"="c:\ibmtools\UTILS\ibmprc.exe" [2005-04-27 90112]

"QCWLICON"="c:\programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2005-03-18 86016]

"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-04-14 139264]

"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-04-14 208896]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-01 136600]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"TpShocks"="TpShocks.exe" [2005-04-05 c:\windows\system32\TpShocks.exe]

"TP4EX"="tp4ex.exe" [2004-11-12 c:\windows\system32\TP4EX.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]

2005-03-18 02:07 262144 c:\windows\system32\QConGina.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]

2004-08-12 19:11 24576 c:\windows\system32\tphklock.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages        REG_MULTI_SZ           scecli pwdmon
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Miranda IM\\miranda32.exe"=

"c:\\Programme\\Soulseek\\slsk.exe"=

"c:\\Programme\\mIRC\\mirc.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=

"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\update.exe"=

"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\preupd.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 Shockprf;Shockprf;c:\windows\system32\drivers\Shockprf.sys [2008-04-11 59776]

R0 TPDiskPM;TPDiskPM;c:\windows\system32\drivers\TPDiskPM.sys [2008-04-11 14208]

R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2008-04-11 11520]

R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.SYS [2008-04-11 2432]

R1 ShockMgr;ShockMgr;c:\windows\system32\drivers\ShockMgr.sys [2008-04-11 4608]

R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\Tppwrif.sys [2008-04-11 4442]

R2 ibmfilter;ibmfilter;\??\c:\windows\system32\drivers\ibmfilter.sys [2005-04-27 63616]

R3 TPInput;TPInput;c:\windows\system32\DRIVERS\TPInput.sys [2008-04-11 6016]

R3 TPM11;NSC Integrated Trusted Platform Module 1.1;c:\windows\system32\DRIVERS\nsctpm11.sys [1979-12-31 14336]

S1 zlportio;zlportio;\??\c:\programme\UltraStar Deluxe\zlportio.sys []

S3 QCNDISIF;QCNDISIF;c:\windows\system32\drivers\qcndisif.SYS [2008-04-11 12288]

.

Inhalt des "geplante Tasks" Ordners
 

2008-12-02 c:\windows\Tasks\PMTask.job

- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2005-04-14 00:01]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-acpiz - acpiz.dll

SafeBoot-acup.sys
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\0rwpz3rw.default\

FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll

FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll

FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-02 01:36:34

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1020)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\tphklock.dll
 

- - - - - - - > 'lsass.exe'(1076)

c:\windows\system32\pwdmon.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\ati2evxx.exe

c:\programme\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\system32\ati2evxx.exe

c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe

c:\programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe

c:\windows\system32\rundll32.exe

c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\QCONSVC.EXE

c:\programme\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\TPHDEXLG.exe

c:\windows\system32\TpKmpSvc.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-12-02  1:38:42 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-12-02 00:38:39
 

Vor Suchlauf: 24 Verzeichnis(se), 26.523.402.240 Bytes frei

Nach Suchlauf: 24 Verzeichnis(se), 26,504,445,952 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
 

169        --- E O F ---        2008-12-01 00:37:17

Zitat:

6.) Mach auch ein Filelisting mit diesem script:

=> http://www.file-upload.net/download-...sting.txt.html

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!![/QUOTE]

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:45:50, on 02.12.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\TpShocks.exe

C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe

C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe

C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\IBMTOOLS\UTILS\ibmprc.exe

C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\IBM\Messages By IBM\ibmmessages.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TPHDEXLG.EXE

C:\WINDOWS\system32\TpKmpSVC.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\wtfzomghax.com
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe

O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor

O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

O11 - Options group: [JAVA_IBM] Java (IBM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208985441156

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208985807609

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BAA3D7D-E348-446F-ABBA-642AE7C075C7}: NameServer = 195.50.140.252 195.50.140.114

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
 

--

End of file - 7211 bytes

Sollte ich mal "probehalber" SDFix auch noch versuchen?

Und: Ich habe allmählich die Vermutung, mir "nur" denselben Virus zweimal eingefangen zu haben, => könnte es das gewesen sein? Wenn ja, wieso nistete er sich dann gestern abend extrem hartnäckig in einem .tmp File ein? (Avira hat es gelöscht => zack war ein neues da (AR49.tmp im Root (!) wird gelöscht => AR50.tmp entsteht; nach dem Neustart war es weg und Avira fand auch nichts mehr))

Danke auf jeden Fall noch mal für jegliche Hilfe im Voraus... meinen letzten Virus hatte ich auf einem 486er mit Windows 95.

PS: Ich habe bei Avira noch vier Dateien in Quarantäne; mein System läuft, obwohl sich auch Dateien mit Ursprung "windows\system" darunter befinden. Soll ich die Objekte mal alle löschen lassen, oder ist das so sicher genug?

Hm also so wirklich auf Hinweise bin ich in den Logfiles nicht gestoßen.
Poste mal das von Avira mit den genauen Funden.

Code:

C:\WINDOWS\system32\rfs.bin

Bitte mal bei Virustotal auswerten lassen und die Ergebnisse hier komplett posten inkl Angaben zu Dateigröße und Prüfsummen.

Möglicherweise bin ich den Quälgeist inzwischen ja auch los; bei den ersten Durchläufen hatten die ganzen Programme ja einiges gefunden & gekillt.

Virustotal sagt...

Code:

Antivirus        Version        Last Update        Result

AhnLab-V3        2008.12.2.2        2008.12.02        -

AntiVir        7.9.0.36        2008.12.02        -

Authentium        5.1.0.4        2008.12.02        -

Avast        4.8.1281.0        2008.12.02        -

AVG        8.0.0.199        2008.12.02        -

BitDefender        7.2        2008.12.02        -

CAT-QuickHeal        10.00        2008.12.02        -

ClamAV        0.94.1        2008.12.02        -

DrWeb        4.44.0.09170        2008.12.02        -

eSafe        7.0.17.0        2008.12.02        -

eTrust-Vet        31.6.6239        2008.12.02        -

Ewido        4.0        2008.12.02        -

F-Prot        4.4.4.56        2008.12.02        -

F-Secure        8.0.14332.0        2008.12.02        -

Fortinet        3.117.0.0        2008.12.02        -

GData        19        2008.12.02        -

Ikarus        T3.1.1.45.0        2008.12.02        -

K7AntiVirus        7.10.540        2008.12.02        -

Kaspersky        7.0.0.125        2008.12.02        -

McAfee        5452        2008.12.02        -

McAfee+Artemis        5452        2008.12.02        -

Microsoft        1.4104        2008.12.02        -

NOD32        3658        2008.12.02        -

Norman        5.80.02        2008.12.02        -

Panda        9.0.0.4        2008.12.02        -

PCTools        4.4.2.0        2008.12.02        -

Prevx1        V2        2008.12.02        -

Rising        21.06.12.00        2008.12.02        -

SecureWeb-Gateway        6.7.6        2008.12.02        -

Sophos        4.36.0        2008.12.02        -

Sunbelt        3.1.1832.2        2008.12.01        -

Symantec        10        2008.12.02        -

TheHacker        6.3.1.2.172        2008.12.02        -

TrendMicro        8.700.0.1004        2008.12.02        -

VBA32        3.12.8.10        2008.12.02        -

ViRobot        2008.12.2.1496        2008.12.02        -

VirusBuster        4.5.11.0        2008.12.02        -
 

Additional information

File size: 12406 bytes

MD5...: f9baf6441696c287167c91ef2d4004cd

SHA1..: a52be95da3b3444dad1cca82e4c0e65ffcf268cc

SHA256: 4ea87ef8526fe7acb9ccbf28c0f29235f848b3bb75051f0a1260272fcd0d16e5

SHA512: 7a67c3f79c40327b92dc6e022218c28e3720d0636fcba98d0f3186aed11cb9b8<br>28915b4a24e7b440b5eb4e7a0716639d092743f791128e6ba85feef75d91c0e0<br>

ssdeep: 96:vBitBzmt8itBPxitBz6pIitBpditB0WitB7:vUqtJvk+p1JgUzb<br>

PEiD..: -

TrID..: File type identification<br>Unknown!

PEInfo: -

Avira:

http://www.abload.de/img/aviraxfq6.jpg

Wie gesagt - möglicherweise hat die geballte Menge an Scannprogs das jetzt auch gelöst. Der Scanlauf heute hat auch keine Viren gefunden.

Leicht OT: Ist der Find3M Report von ComboFix iO? Mich wundert die Ordnerwahl da etwas, da in zwei von den dort gelisteten Ordnern eben schon mal Quälgeister aufgetaucht waren wenn ich mich recht erinnere und das andere allesamt Progs, die auf das Inet zugreifen dürfen, sind...