hey
vielen dank für deine schnellen antworten. :daumenhoc
bin jetzt müde, muss schlafen gehen!


echt klasse hier :daumenhoc:daumenhoc

hallo

1.also hab erstmal ccleaner ausgeführt, jedoch konnte ich einen wert nich löschen. (bei registry) steht zwar da gelöscht, doch wenn ich wieder analysieren mach kommt er wieder. manuell gehts auch net.
es geht um das hier:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

2.hab dann combofix ausgeführt. keine ahnung obs normal ist, aber ich konnte danach (als der scan fertig war und log file auch) mozilla nicht öffnen. textdateien öffnen ging auch net.

nach einem neustart gehts wieder.

hier der log:

ComboFix 09-09-25.01 - miro 27.09.2009 20:00.1.4 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3071.2128 [GMT 2:00]
ausgeführt von:: c:\users\miro\Desktop\cofi.exe.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3799233008-322220570-2943533575-500

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 18:03 . 2009-09-27 18:03 -------- d-----w- c:\users\miro\AppData\Local\temp
2009-09-27 18:03 . 2009-09-27 18:03 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-27 17:48 . 2009-09-27 17:48 -------- d-----w- c:\program files\CCleaner
2009-09-27 17:37 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-27 17:37 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\programdata\Avira
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\program files\Avira
2009-09-26 22:29 . 2008-06-20 01:14 43544 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2009-09-26 22:29 . 2008-06-20 01:14 105016 ----a-w- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 97800 ----a-w- c:\windows\system32\infocardapi.dll
2009-09-26 22:29 . 2008-06-20 01:14 11264 ----a-w- c:\windows\system32\icardres.dll
2009-09-26 22:29 . 2008-06-20 01:14 622080 ----a-w- c:\windows\system32\icardagt.exe
2009-09-26 22:29 . 2008-06-20 01:14 781344 ----a-w- c:\windows\system32\PresentationNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 326160 ----a-w- c:\windows\system32\PresentationHost.exe
2009-09-26 22:24 . 2008-07-27 18:03 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-09-26 22:24 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-09-26 22:24 . 2008-07-27 18:03 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-09-26 22:24 . 2008-07-27 18:03 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-09-26 22:24 . 2008-07-27 18:03 83968 ----a-w- c:\windows\system32\mscories.dll
2009-09-26 22:22 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-09-26 22:22 . 2008-09-05 05:14 1191936 ----a-w- c:\windows\system32\msxml3.dll
2009-09-26 22:22 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-09-26 22:22 . 2008-10-29 06:29 2927104 ----a-w- c:\windows\explorer.exe
2009-09-26 22:22 . 2008-08-12 03:39 443392 ----a-w- c:\windows\system32\win32spl.dll
2009-09-26 22:22 . 2008-12-16 02:42 288768 ----a-w- c:\windows\system32\drivers\srv.sys
2009-09-26 22:22 . 2008-08-02 03:26 36864 ----a-w- c:\windows\system32\cdd.dll
2009-09-26 22:22 . 2008-08-02 01:01 625152 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2009-09-26 22:22 . 2008-06-26 03:29 565248 ----a-w- c:\windows\system32\emdmgmt.dll
2009-09-26 22:22 . 2008-06-26 03:29 45056 ----a-w- c:\windows\system32\dataclen.dll
2009-09-26 22:22 . 2008-06-23 01:59 996352 ----a-w- c:\windows\system32\WMNetMgr.dll
2009-09-26 22:22 . 2008-06-23 01:58 94720 ----a-w- c:\windows\system32\logagent.exe
2009-09-26 22:19 . 2008-09-10 03:40 1334272 ----a-w- c:\windows\system32\msxml6.dll
2009-09-26 22:10 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll
2009-09-26 22:08 . 2009-09-26 22:08 -------- d-----w- c:\program files\MSXML 4.0
2009-09-26 22:06 . 2009-07-11 19:32 513024 ----a-w- c:\windows\system32\wlansvc.dll
2009-09-26 22:05 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-09-26 21:53 . 2008-10-16 21:13 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-09-26 21:53 . 2008-10-16 21:09 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-09-26 21:53 . 2008-10-16 21:09 43544 ----a-w- c:\windows\system32\wups2.dll
2009-09-26 21:53 . 2008-10-16 20:56 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-09-26 21:53 . 2008-10-16 21:12 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-09-26 21:53 . 2008-10-16 21:08 34328 ----a-w- c:\windows\system32\wups.dll
2009-09-26 21:53 . 2008-10-16 20:55 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-09-26 21:53 . 2008-10-16 12:08 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-09-26 21:53 . 2008-10-16 11:56 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-09-26 21:32 . 2009-09-26 21:34 -------- d-----w- c:\program files\trend micro
2009-09-26 21:32 . 2009-09-26 21:33 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-27 17:58 . 2008-01-21 07:15 618204 ----a-w- c:\windows\system32\perfh007.dat
2009-09-27 17:58 . 2008-01-21 07:15 122636 ----a-w- c:\windows\system32\perfc007.dat
2009-08-14 17:01 . 2009-09-26 22:07 900168 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-08-14 17:01 . 2009-09-26 22:07 220232 ----a-w- c:\windows\system32\drivers\netio.sys
2009-08-14 17:01 . 2009-09-26 22:07 98376 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2009-08-14 16:29 . 2009-09-26 22:07 104960 ----a-w- c:\windows\system32\netiohlp.dll
2009-08-14 16:29 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\netevent.dll
2009-08-14 16:23 . 2009-09-26 22:07 438272 ----a-w- c:\windows\system32\IKEEXT.DLL
2009-08-14 16:22 . 2009-09-26 22:07 595456 ----a-w- c:\windows\system32\FWPUCLNT.DLL
2009-08-14 16:21 . 2009-09-26 22:07 328704 ----a-w- c:\windows\system32\BFE.DLL
2009-08-14 14:16 . 2009-09-26 22:07 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:16 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-08-14 14:16 . 2009-09-26 22:07 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-08-14 14:16 . 2009-09-26 22:07 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-08-14 14:16 . 2009-09-26 22:07 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-08-14 14:16 . 2009-09-26 22:07 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:16 . 2009-09-26 22:07 10240 ----a-w- c:\windows\system32\finger.exe
2009-07-18 16:06 . 2009-09-26 22:23 827904 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 16:01 . 2009-09-26 22:23 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 09:46 . 2009-09-26 22:23 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-14 13:00 . 2009-09-26 22:23 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-14 12:59 . 2009-09-26 22:23 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-07-14 12:58 . 2009-09-26 22:23 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-07-14 10:59 . 2009-09-26 22:23 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-07-11 19:32 . 2009-09-26 22:06 302592 ----a-w- c:\windows\system32\wlansec.dll
2009-07-11 19:32 . 2009-09-26 22:06 293376 ----a-w- c:\windows\system32\wlanmsm.dll
2009-07-11 19:29 . 2009-09-26 22:06 127488 ----a-w- c:\windows\system32\L2SecHC.dll
2008-01-21 02:23 . 2008-01-21 02:23 397312 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6001.18000_none_f1582d884fb532fb\WinMail.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-08 13535776]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-08-27 6281760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-702522488-2701614414-2124737649-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F249D3F9-6227-4A94-BA5E-E7E5C5227FBF}"= UDP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{E7AE5B6E-4C34-4B79-B2C3-A93D251CFF47}"= TCP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{D495D6BD-0262-4FA6-AEFA-C9AAF62E5A7F}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{8FA11A77-22E6-415B-A3AC-6997309DEE60}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F6A995D6-2A37-46F4-AE71-EFDEBC2E5A50}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F825675E-2CFE-4647-95F4-46CB287B6185}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A903B04E-C3CA-4012-BD6A-503BF634FA7B}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [27.09.2009 19:37 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\System32\drivers\cledx.sys [13.11.2008 18:23 33792]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [30.09.2008 12:28 544768]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\miro\AppData\Roaming\Mozilla\Firefox\Profiles\xq36ed1h.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe
HKU-Default-Run-fsc-reg - c:\fsc-reg\fscreg.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 20:03
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-09-27 20:04
ComboFix-quarantined-files.txt 2009-09-27 18:04

Vor Suchlauf: 13 Verzeichnis(se), 17.775.009.792 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 17.614.774.272 Bytes frei

147 --- E O F --- 2009-09-26 22:52

Sieht nicht so schlimm aus, wie befürchtet.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hab leider vergessen meine hdd anzuschliesssen:headbang:
hab dann scan unterbrochen.

jetzt einfach nochmal des mitm editor und dann aufs icon schieben?

Ja.

ciao, andreas

hier der log: :)

ComboFix 09-09-25.01 - miro 27.09.2009 21:30.3.4 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3071.2177 [GMT 2:00]
ausgeführt von:: c:\users\miro\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\users\miro\Desktop\cfscript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\perfc007.dat"
"c:\windows\system32\perfh007.dat"
"c:\windows\system32\tbytfyhgv.exe"
"c:\windows\system32\wcxvcfcaz.exe"
"c:\windows\tbytfyhgv.exe"
"c:\windows\wcxvcfcaz.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EAGLENT
-------\Service_EagleNT


((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 19:33 . 2009-09-27 19:35 -------- d-----w- c:\users\miro\AppData\Local\temp
2009-09-27 19:33 . 2009-09-27 19:33 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-09-27 19:33 . 2009-09-27 19:33 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-27 17:48 . 2009-09-27 17:48 -------- d-----w- c:\program files\CCleaner
2009-09-27 17:37 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-27 17:37 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\programdata\Avira
2009-09-27 17:37 . 2009-09-27 17:37 -------- d-----w- c:\program files\Avira
2009-09-26 22:29 . 2008-06-20 01:14 43544 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2009-09-26 22:29 . 2008-06-20 01:14 105016 ----a-w- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 97800 ----a-w- c:\windows\system32\infocardapi.dll
2009-09-26 22:29 . 2008-06-20 01:14 11264 ----a-w- c:\windows\system32\icardres.dll
2009-09-26 22:29 . 2008-06-20 01:14 622080 ----a-w- c:\windows\system32\icardagt.exe
2009-09-26 22:29 . 2008-06-20 01:14 781344 ----a-w- c:\windows\system32\PresentationNative_v0300.dll
2009-09-26 22:29 . 2008-06-20 01:14 326160 ----a-w- c:\windows\system32\PresentationHost.exe
2009-09-26 22:24 . 2008-07-27 18:03 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-09-26 22:24 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-09-26 22:24 . 2008-07-27 18:03 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-09-26 22:24 . 2008-07-27 18:03 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-09-26 22:24 . 2008-07-27 18:03 83968 ----a-w- c:\windows\system32\mscories.dll
2009-09-26 22:22 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-09-26 22:22 . 2008-09-05 05:14 1191936 ----a-w- c:\windows\system32\msxml3.dll
2009-09-26 22:22 . 2009-06-10 12:07 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-09-26 22:22 . 2008-10-29 06:29 2927104 ----a-w- c:\windows\explorer.exe
2009-09-26 22:22 . 2008-08-12 03:39 443392 ----a-w- c:\windows\system32\win32spl.dll
2009-09-26 22:22 . 2008-12-16 02:42 288768 ----a-w- c:\windows\system32\drivers\srv.sys
2009-09-26 22:22 . 2008-08-02 03:26 36864 ----a-w- c:\windows\system32\cdd.dll
2009-09-26 22:22 . 2008-08-02 01:01 625152 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2009-09-26 22:22 . 2008-06-26 03:29 565248 ----a-w- c:\windows\system32\emdmgmt.dll
2009-09-26 22:22 . 2008-06-26 03:29 45056 ----a-w- c:\windows\system32\dataclen.dll
2009-09-26 22:22 . 2008-06-23 01:59 996352 ----a-w- c:\windows\system32\WMNetMgr.dll
2009-09-26 22:22 . 2008-06-23 01:58 94720 ----a-w- c:\windows\system32\logagent.exe
2009-09-26 22:19 . 2008-09-10 03:40 1334272 ----a-w- c:\windows\system32\msxml6.dll
2009-09-26 22:10 . 2009-06-22 10:22 2048 ----a-w- c:\windows\system32\tzres.dll
2009-09-26 22:08 . 2009-09-26 22:08 -------- d-----w- c:\program files\MSXML 4.0
2009-09-26 22:06 . 2009-07-11 19:32 513024 ----a-w- c:\windows\system32\wlansvc.dll
2009-09-26 22:05 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-09-26 21:53 . 2008-10-16 21:13 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-09-26 21:53 . 2008-10-16 21:09 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-09-26 21:53 . 2008-10-16 21:09 43544 ----a-w- c:\windows\system32\wups2.dll
2009-09-26 21:53 . 2008-10-16 20:56 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-09-26 21:53 . 2008-10-16 21:12 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-09-26 21:53 . 2008-10-16 21:08 34328 ----a-w- c:\windows\system32\wups.dll
2009-09-26 21:53 . 2008-10-16 20:55 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-09-26 21:53 . 2008-10-16 12:08 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-09-26 21:53 . 2008-10-16 11:56 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-09-26 21:32 . 2009-09-26 21:34 -------- d-----w- c:\program files\trend micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-14 17:01 . 2009-09-26 22:07 900168 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-08-14 17:01 . 2009-09-26 22:07 220232 ----a-w- c:\windows\system32\drivers\netio.sys
2009-08-14 17:01 . 2009-09-26 22:07 98376 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2009-08-14 16:29 . 2009-09-26 22:07 104960 ----a-w- c:\windows\system32\netiohlp.dll
2009-08-14 16:29 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\netevent.dll
2009-08-14 16:23 . 2009-09-26 22:07 438272 ----a-w- c:\windows\system32\IKEEXT.DLL
2009-08-14 16:22 . 2009-09-26 22:07 595456 ----a-w- c:\windows\system32\FWPUCLNT.DLL
2009-08-14 16:21 . 2009-09-26 22:07 328704 ----a-w- c:\windows\system32\BFE.DLL
2009-08-14 14:16 . 2009-09-26 22:07 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:16 . 2009-09-26 22:07 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-08-14 14:16 . 2009-09-26 22:07 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-08-14 14:16 . 2009-09-26 22:07 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-08-14 14:16 . 2009-09-26 22:07 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-08-14 14:16 . 2009-09-26 22:07 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:16 . 2009-09-26 22:07 10240 ----a-w- c:\windows\system32\finger.exe
2009-07-18 16:06 . 2009-09-26 22:23 827904 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 16:01 . 2009-09-26 22:23 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 09:46 . 2009-09-26 22:23 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-14 13:00 . 2009-09-26 22:23 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-14 12:59 . 2009-09-26 22:23 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-07-14 12:58 . 2009-09-26 22:23 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-07-14 10:59 . 2009-09-26 22:23 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-07-11 19:32 . 2009-09-26 22:06 302592 ----a-w- c:\windows\system32\wlansec.dll
2009-07-11 19:32 . 2009-09-26 22:06 293376 ----a-w- c:\windows\system32\wlanmsm.dll
2009-07-11 19:29 . 2009-09-26 22:06 127488 ----a-w- c:\windows\system32\L2SecHC.dll
2008-01-21 02:23 . 2008-01-21 02:23 397312 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6001.18000_none_f1582d884fb532fb\WinMail.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_18.03.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2009-09-27 18:50 31546 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-09-27 18:50 76878 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-11-07 13:50 . 2009-09-27 18:50 8738 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-702522488-2701614414-2124737649-1000_UserData.bin
- 2006-11-02 10:33 . 2009-09-27 17:58 586980 c:\windows\System32\perfh009.dat
+ 2006-11-02 10:33 . 2009-09-27 18:54 586980 c:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-09-27 17:58 101052 c:\windows\System32\perfc009.dat
+ 2006-11-02 10:33 . 2009-09-27 18:54 101052 c:\windows\System32\perfc009.dat
- 2006-11-02 10:22 . 2009-09-27 17:36 6291456 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2006-11-02 10:22 . 2009-09-27 18:05 6291456 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-08 13535776]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-08-27 6281760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-702522488-2701614414-2124737649-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F249D3F9-6227-4A94-BA5E-E7E5C5227FBF}"= UDP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{E7AE5B6E-4C34-4B79-B2C3-A93D251CFF47}"= TCP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{D495D6BD-0262-4FA6-AEFA-C9AAF62E5A7F}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{8FA11A77-22E6-415B-A3AC-6997309DEE60}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F6A995D6-2A37-46F4-AE71-EFDEBC2E5A50}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{F825675E-2CFE-4647-95F4-46CB287B6185}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A903B04E-C3CA-4012-BD6A-503BF634FA7B}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [27.09.2009 19:37 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\System32\drivers\cledx.sys [13.11.2008 18:23 33792]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [30.09.2008 12:28 544768]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\miro\AppData\Roaming\Mozilla\Firefox\Profiles\xq36ed1h.default\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 21:35
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-27 21:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-27 19:38
ComboFix2.txt 2009-09-27 18:04

Vor Suchlauf: 16 Verzeichnis(se), 17.520.676.864 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 18.040.553.472 Bytes frei

179 --- E O F --- 2009-09-26 22:52

Noch zwei Kontrollscans, dann sollten wir durch sein.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

zu 1:
PrevXCSI sagt system sei clean ....


zu 2:
Hab mich ausversehen doch registriert, zum glück aber mit meiner "wegwerf" email adresse :)
wer lesen kann ist im vorteil :uglyhammer:

scan gemacht, PC sei auch nicht infiziert.
dennoch 2 verdächtige dateien.

hier der log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-27 22:39:30
PROTECTIONS: 1
MALWARE: 0
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWorld\NV_o2o_Teilnehmer_DE.exe
No M:\games\FIFA 08\CommonEASO\EASOInstaller.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Das sieht gut aus. :daumenhoc

1.) Start => Ausführen => combofix /u => OK

2.) Deinstalliere/lösche alle Programme, die wir eingesetzt haben.

3.) Poste ein aktuelles HJT-Log.

ciao, andreas

1. ging nicht. oder was soll ich da auswählen?
2. erledigt
3.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:59, on 27.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 2953 bytes

Wenn du es genau so machst, dann wird ComboFix deinstalliert. Falls es kein Ausführen gibt, dann führe hier die ersten Schritte aus => http://www.trojaner-board.de/72647-b...ktivieren.html

Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere:
=> Fix checked

Da gehört noch SP2 und MSIE8 installiert.

Du bist entlassen. :)

ciao, andreas

hey
habs raus, combofix is gelöscht :singsing:

fix checked hab ich auch gemacht.

sp2 installier ich die tage noch!
aber warum MSIE8? FF is doch standard.


und ehh, meinst du das system ist jetzt wieder in ordnung? alles bösewichte weg?

und noch was:
bei running processe steht ja C:\Program Files\Windows Media Player\wmplayer.exe
ist aber deinstaliert und wird eh nicht benutzt?

und was ist das:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

Weil er nunmal dazugehört und auch dann aktuell gehalten werden muss, wenn du ihn nicht benutzt.
Ja.
Sachen von MS richtig zu deinstallieren ist nicht so einfach. :)
Irgendein Programm für deine Nvidia-Grafikkarte. Kannst es ja testweise fixen, neustarten und gucken, was sich geändert hat.

ciao, andreas

hey
vielen dank für deine arbeit :daumenhoc
jetz is der PC meiner eltern zumindest sauber :Boogie:
echt super von dir!!!!


:dankeschoen:


hab aber noch fragen:
1. IE8 soll ich installieren. Aber wenn ich ihn nicht will und nicht benutze..trotzdem pflicht?
2. warum kann ich nicht "meinen" PC säubern wie es bei diesem gemacht worden ist?
etwa weil die progs nicht 64-bit sind?

Ja. Die Software aktuell zu halten gilt für alle installierte Software. Ganz besonders für Betriebssystemdateien.
Falls du ComboFix zum Laufen bekommst, dann können wir es versuchen. :) Empfehlen würde ich dir das aber nicht.

ciao, andreas