Hallo zusammen,
da ich jetzt nicht selber weiter weiß, hoffe ich mal auf die Community: Ich schlage mich seit mitte August mit einem Virus rum: Aufgefallen durch 99%-Auslastung des ITX-PC's der SERVICES.EXE für ca. 10 sec. pro Minute. Hierdurch wird natürlich jegliche Medienwiedergabe zur Qual. "netstat -a" auf der Konsole ergab dann hunderte von Verbindungen zu diversen I-net-Adressen.
Seit Tagen googlen und durchforsten der Foren, und bin nun hier hängen geblieben und weiß nicht mehr weiter.
Meine bisherige Vorgehensweise:
1. HiJackthis ausgeführt (vor 2 Tagen)
2. Malwarbytes`Anti Malware ausgeführt (mehrmals)
3. ComboFix ausgeführt (heute)
zu 1:HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:33:06, on 08.09.2010
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINNT\system32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\VMware\VMware Converter\vmware-ufad.exe
C:\WINNT\System32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINNT\system32\vmnetdhcp.exe
C:\WINNT\Explorer.EXE
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\sistray.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\VLC\VLCPortable\App\vlc\vlc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cmd.exe
C:\Downloads\HiJackThis204.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.178.3.44:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Tango - {434D68A9-C928-44B8-860D-25976730C30A} - C:\WINNT\system32\7a78.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O3 - Toolbar: Tango - {434D68A8-C928-44B8-860D-25976730C30A} - C:\WINNT\system32\7a78.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [lkfnnc] RUNDLL32.EXE C:\WINNT\system32\msnpwbcf.dll,w
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [GabPath] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GabPath\GabPath.exe
O4 - HKCU\..\Run: [SfKg6wIPuSp] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\jnipmo.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINNT\system32\sistray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4270250-056B-433F-8979-943A6B444E09}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ResultDns Service - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns\resultdns112.exe
O23 - Service: VMware Converter Service (ufad-p2v) - VMware, Inc. - C:\Programme\VMware\VMware Converter\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe
O23 - Service: soft Xpansion Print2Document (WPEServ) - soft Xpansion - C:\Programme\Gemeinsame Dateien\WPE\wpeserv.exe
--
End of file - 5787 bytes
--- --- ---
zu 2:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4573
Windows 5.0.2195 Service Pack 4
Internet Explorer 5.00.3700.1000
09.09.2010 18:41:26
mbam-log-2010-09-09 (18-41-26).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104277
Laufzeit: 7 Minute(n), 23 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 24
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\10DPP6O2VE (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\GabPath (Adware.Adparatus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\IEBarProperties (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\GabPath (Adware.GabPath) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ZE18MW23GY (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ResultDns (Adware.ResultDns) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RESULTDNS_SERVICE (Adware.ResultDns) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ResultDns Service (Adware.ResultDns) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\gabpath (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipusp (Trojan.Downloader) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\Programme\ResultDns (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\WINNT\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Programme\Mozilla Firefox\Components\gpff.dll (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ewcwp.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINNT\system32\iwcwp.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINNT\system32\msnpwbcf.dll (Trojan.GamesThief) -> Quarantined and deleted successfully.
C:\WINNT\system32\sshnas21x.dll (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\WINNT\system32\updata.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINNT\system32\vwcwp.exe (Trojan.Adware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mkcxhunr.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nrmocwsxea.tmp (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nsxrewacmo.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\oencwrxsam.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\onewxacrms.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wtpvaae.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nsi40.tmp\resultdns.dll (Adware.Agent.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nsi40.tmp\resultdns.exe (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\WINNT\Temp\setupthlp.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns\resultdns112.exe (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\Programme\ResultDns\resultdns.dll (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\Programme\ResultDns\resultdns.exe (Adware.ResultDns) -> Quarantined and deleted successfully.
C:\WINNT\$NtUninstallMTF1011$\apUninstall.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINNT\$NtUninstallMTF1011$\zrpt.xml (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINNT\system32\comsats.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\service.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINNT\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
zu 3:Combofix Logfile:
Code:
ComboFix 10-09-09.04 - Administrator 10.09.2010 19:35:05.1.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.477.288 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator\Recent\1007706030_38120_gal_b.jpg.url
c:\dokumente und einstellungen\Administrator\Recent\1007706030_47698_gal_b.jpg.url
c:\dokumente und einstellungen\Administrator\Recent\1201271925.H864687P11027.inmar.idns8.pif
c:\dokumente und einstellungen\Administrator\Recent\1201305836.H102107P9243.inmar.idns8.pif
c:\dokumente und einstellungen\Administrator\Recent\SYS.pif
c:\winnt\Debug\dcpromo.log
c:\winnt\system32\drivers\70538308.sys
c:\winnt\system32\Install.txt
c:\winnt\Web\default.htt
.
\\.\PhysicalDrive0 - Bootkit Agent was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Agent was found and disinfected
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Legacy_SSHNAS
-------\Legacy_70538308
-------\Service_70538308
((((((((((((((((((((((( Dateien erstellt von 2010-08-10 bis 2010-09-10 ))))))))))))))))))))))))))))))
.
2010-09-10 17:42 . 2010-09-10 17:42 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_284.dat
2010-09-09 15:06 . 2010-09-09 15:06 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_408.dat
2010-09-08 19:04 . 2010-09-08 19:04 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-08 19:04 . 2010-09-08 19:04 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-08 18:33 . 2010-09-08 18:33 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-08 18:32 . 2010-04-29 10:19 38224 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2010-09-08 18:32 . 2010-09-08 18:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-08 18:32 . 2010-04-29 10:19 19288 ----a-w- c:\winnt\system32\drivers\mbam.sys
2010-09-08 18:32 . 2010-09-08 18:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-08 15:11 . 2010-09-08 15:11 -------- d-----w- C:\scans
2010-09-04 07:15 . 2010-09-04 08:03 -------- d-----w- C:\montessori_abschluss
2010-08-26 16:46 . 2010-08-26 16:46 -------- d-----w- c:\winnt\system32\Windows Media
2010-08-26 16:45 . 2010-08-26 16:45 -------- dc-h--w- c:\winnt\$NtUpdateRollupPackUninstall$
2010-08-26 16:45 . 2010-08-26 16:45 -------- d-----w- c:\winnt\msiinst.tmp
2010-08-15 15:13 . 2010-08-15 15:23 -------- d-----w- C:\athen_2010
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 17:42 . 2007-10-09 20:16 -------- d-----w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\VMware
2010-09-10 17:42 . 2007-10-09 20:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2010-09-10 13:44 . 2009-08-07 18:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2010-09-09 16:01 . 2008-03-18 20:02 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2010-09-09 15:08 . 2007-12-29 13:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2010-09-08 13:51 . 2009-07-11 20:17 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-06 19:35 . 2008-07-09 18:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2010-08-26 13:02 . 2009-02-09 21:23 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-08-26 13:02 . 2009-02-09 21:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird
2010-08-24 19:42 . 2009-02-06 21:16 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\uTorrent
2010-08-17 19:17 . 2007-09-18 19:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-06-03 17:07 . 2009-06-03 17:01 12519424 ----a-w- c:\programme\gs864w32.exe
2007-11-28 14:38 . 2007-11-28 14:36 8628 ---ha-w- c:\programme\GMouse.GID
2007-11-28 14:34 . 2007-11-28 14:34 1677 ----a-w- c:\programme\DeIsL1.isu
2007-09-18 19:09 . 2007-09-18 19:10 10277808 ----a-w- c:\programme\VLC_Portable_0.8.6c.paf.exe
2007-09-18 15:51 . 2007-09-18 15:51 22080 ---h--w- c:\programme\folder.htt
1997-01-04 11:23 . 2007-11-28 14:34 246272 ----a-w- c:\programme\Gmouse.exe
1997-01-04 11:20 . 2007-11-28 14:34 6909 ----a-w- c:\programme\GMOUSE.HLP
1996-02-07 07:07 . 2007-11-28 14:34 24576 ----a-w- c:\programme\_ISREG32.DLL
.
------- Sigcheck -------
[-] 2002-11-26 17:03 . 36678803A8030EE9A771935CFC1848BD . 52224 . . [ERROR: 0x0] . . c:\winnt\system32\mspmsnsv.dll
[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [ERROR: 0x0] . . c:\winnt\system32\d3d9.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 112400]
"SiSPower"="SiSPower.dll" [2007-04-13 53248]
"PWRISOVM.EXE"="c:\programme\PowerISO\PWRISOVM.EXE" [2007-08-07 200704]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"VMware hqtray"="c:\programme\VMware\VMware Player\hqtray.exe" [2008-05-15 55856]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [1999-12-10 20752]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Utility Tray.lnk - c:\winnt\system32\sistray.exe [2007-9-18 262144]
R0 SISAGP2K;SiS AGP win2K Filter;c:\winnt\system32\drivers\SISAGP2K.SYS [18.09.2007 18:01 24832]
R0 stcp2v30;stcp2v30 Driver;c:\winnt\system32\drivers\stcp2v30.sys [19.04.2007 17:40 58256]
R2 ufad-p2v;VMware Converter Service;c:\programme\VMware\VMware Converter\vmware-ufad.exe -d "c:\programme\VMware\VMware Converter\\" -s ufad-p2v.xml --> c:\programme\VMware\VMware Converter\vmware-ufad.exe -d c:\programme\VMware\VMware Converter\\ [?]
R2 vstor2-p2v30;Vstor2 P2V30 Virtual Storage Driver;c:\programme\VMware\VMware Converter\vstor2-p2v30.sys [19.04.2007 17:38 19504]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;c:\winnt\system32\drivers\openhci.sys [10.12.1999 14:00 24784]
R3 SISNIC2K;SiS PCI Fast Ethernet Adapter Driver for NDIS5;c:\winnt\system32\drivers\sisnic2k.sys [18.09.2007 18:07 32768]
R3 usbhub20;USB 2.0-Root-Hub-Support;c:\winnt\system32\drivers\usbhub20.sys [18.09.2007 18:53 49776]
S2 SSPORT;SSPORT;\??\c:\winnt\system32\Drivers\SSPORT.sys --> c:\winnt\system32\Drivers\SSPORT.sys [?]
S3 GNCT511;Genius VideoCAM NB;c:\winnt\system32\drivers\gnct511.sys [19.03.2008 18:56 229376]
S3 PAC207;Trust WB-1200p Mini Webcam;c:\winnt\system32\drivers\pfc027.sys [24.02.2005 12:29 162176]
S3 VcomPort1;%VcomPort1.SVCDESC%;c:\winnt\system32\DRIVERS\vcomric1.sys --> c:\winnt\system32\DRIVERS\vcomric1.sys [?]
S3 WPEServ;soft Xpansion Print2Document;c:\programme\Gemeinsame Dateien\wpe\wpeserv.exe [12.03.2008 22:37 323584]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Zusätzlicher Suchlauf -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
TCP: {F4270250-056B-433F-8979-943A6B444E09} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\md88l3ew.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.contratom.de/
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{434D68A8-C928-44B8-860D-25976730C30A} - c:\winnt\system32\7a78.dll
AddRemove-Metin2_is1 - c:\programme\Metin2\unins000.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-10 19:43
Windows 5.0.2195 Service Pack 4 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x84A1778A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf2022ac3
\Driver\ACPI -> ACPI.sys @ 0xbffde554
\Driver\atapi -> ntoskrnl.exe @ 0x804a5a6d
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x804c05a8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x804c05a8
copy of MBR has been found in sector 5 !
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(228)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\msv1_0.dll
- - - - - - - > 'lsass.exe'(268)
c:\winnt\system32\mpr.dll
- - - - - - - > 'explorer.exe'(1136)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\system32\stisvc.exe
c:\programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
c:\winnt\system32\vmnat.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\vmnetdhcp.exe
c:\programme\VMware\VMware Player\vmware-authd.exe
c:\programme\VMware\VMware Converter\vmware-ufad.exe
c:\winnt\system32\internat.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-10 19:49:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-09-10 17:49
Vor Suchlauf: 8.040.022.016 Bytes frei
Nach Suchlauf: 8.045.932.544 Bytes frei
- - End Of File - - 0922E39525D62CCFE189CA74FE287BD2
--- --- ---
Vielleicht WICHTIG: Während des ComboFix Durchlaufes kam folgende Meldung:
"The Master Boot Record is infected"
und
"ComboFix hat die Anwesenheit von Rootkitaktivitäten festgestellt...PC neu starten"
Zusammenfassend: Mein lieber PC scheint jetzt Malware-frei zu sein, auch netstat -a auf der Konsole zeigt keine ungwöhnlichen internet-aktivitäten an, aber die SERVICES.EXE legt leiterhin den ganzen Rechner lahm (Zur Info: Verhältniss CPU-Zeit: Leerlaufprozess / SERVICES.EXE: 60Min / 20 Min!)
Ok, da ich nix unüberlegtes unternehmen möchte und mit meinem Latein am ende bin, warte ich hier mal geduldig ab.
Danke schon mal für`s durchlesen und gedanken machen bzgl. dieses posts... schönes WoEnde allen!
P.A.