Hallo Trojan-Death,
ich habe alles abgearbeitet und bin den Anleitungen auch sorgfältig gefolgt.
Um es vorweg zu nehmen: Ich habe den PC jetzt neu hochgefahren, weil mein AntiVir-Schirmchen nicht auftauchte, und da war als erstes wieder das Fenster: Warning, Spyware detected on your computer ... und Spybot meldete sich mit: Spybot S&D hat festgestellt, dass ein wichtiger Registrierungsdatenbankeintrag geändert wurde.
Kategorie: System Startup global entry
Änderung: Wert hinzugefügt
Eintrag: inrhclsgj0eg4c
Neue Daten: C:\WINDOWS\Temp\.ttC.tmp.exe/CR=E08AC8...
Klick auf: Verweigern (Warum sagt mir mein Bauchgefühl nur immer, dass ich bei Spybot etwas falsch mache?)
Doch nun der Reihe nach:
Heute morgen war mein Desktop das erste Mal weiß. Ich habe mit MAM im Normalmodus gescannt, danach war der Bildschirm blau, ich bin ins Internet und habe mir alle Programmme und Anleitungen geholt, gespeichert, ausgedruckt. - Jede halbe Stunde meldete sich Anti Vir mit einem Malware-Eintrag, der in die Quarantäne kam.
Ab 12:00 Uhr konnte ich erst beginnen:
- Die Quarantäne-Dateien bei Anti Vir habe ich gelöscht.
- Anti Vir habe ich deaktiviert (Schirmchen zu), bei
- Spybot habe ich den Tea-Timer geschlossen und im erweiterten Modus die Häckchen bei "Resident" und "Systemstart" entfernt
- die Wiederherstellungskonsole war auf dem Desktop
1. C Cleaner - Scan. Hier wolltest Du kein Protokoll haben?
2. ComboF ix (hat einen Neustart durchgeführt und mit Autostart waren Antivir und Spybot wieder aktiv. Um sicher zu gehen, habe ich noch einmal deaktiviert und Combo Fix ein zweites Mal durchlaufen lassen. Ich schicke Dir das zweite Protokoll.
3. Black light - Scan
4. So phos - Scan
5. Malware Bytes - Scan (abgesicherter Modus)
6. HJT -Scan
Danke, dass Du Dir die Mühe machst, das anzusehen. Es ist viel Arbeit.
Hoffentlich habe ich keine Fehler gemacht.
Liebe Grüße
Ulla
2. Combo Fix Code:
ComboFix 08-09-05.10 - Administrator 2008-09-09 14:27:37.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.118 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TCPSR
((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.
2008-09-09 14:31 . 2008-09-09 14:31 625,208 --a------ C:\WINDOWS\system32\phcgsgj0eg4c.bmp
2008-09-09 14:31 . 2008-09-09 14:31 203,776 --a------ C:\WINDOWS\system32\lphcgsgj0eg4c.exe
2008-09-09 14:31 . 2008-09-09 14:31 118,784 --a------ C:\WINDOWS\system32\blphcgsgj0eg4c.scr
2008-09-09 13:58 . 2008-09-09 13:58 <DIR> d-------- C:\Programme\CCleaner
2008-09-08 23:26 . 2008-09-08 23:26 250 --a------ C:\WINDOWS\gmer.ini
2008-09-08 22:19 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-09-08 22:19 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-09-08 22:19 . 2008-08-26 20:19 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-08 22:19 . 2008-08-27 15:17 87,040 --a------ C:\WINDOWS\system32\VACFix.exe
2008-09-08 22:19 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-09-08 22:19 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-09-08 22:19 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-09-08 22:19 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-09-08 22:19 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-09-08 22:19 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-09-03 12:34 . 2008-09-09 12:39 21,504 --a------ C:\WINDOWS\system32\suzkaco32.dll
2008-09-02 10:56 . 2008-09-02 10:59 106,496 --a------ C:\WINDOWS\system32\29.tmp
2008-09-02 10:56 . 2008-09-02 10:56 106,496 --a------ C:\WINDOWS\system32\1C.tmp
2008-09-02 10:56 . 2008-09-02 10:56 106,496 --a------ C:\WINDOWS\system32\1B.tmp
2008-09-02 10:02 . 2008-09-03 09:17 771 --a------ C:\WINDOWS\wininit.ini
2008-09-02 08:20 . 2008-09-09 14:30 21,504 --a------ C:\WINDOWS\system32\suzkaco.dll
2008-09-01 08:20 . 2008-09-01 08:20 106,496 --a------ C:\WINDOWS\system32\39.tmp
2008-08-29 20:08 . 2008-09-08 22:29 4,160 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-29 17:00 . 2008-08-29 17:00 <DIR> d-------- C:\Programme\Trend Micro
2008-08-27 19:24 . 2008-08-27 19:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-27 19:24 . 2008-08-27 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-27 19:24 . 2008-08-27 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-27 19:24 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-27 19:24 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-26 11:24 . 2008-08-18 18:41 1,832,272 --a------ C:\Programme\JYODQVBJZ.scr
2008-08-26 11:21 . 2008-09-02 08:31 <DIR> d-------- C:\Programme\Updates
2008-08-26 11:21 . 2008-08-26 11:21 <DIR> d-------- C:\Programme\Plugins
2008-08-26 11:21 . 2008-09-02 08:31 <DIR> d-------- C:\Programme\Includes
2008-08-26 11:21 . 2008-07-07 09:42 4,891,472 -rahs---- C:\Programme\SpybotSD.exe
2008-08-26 11:21 . 2008-07-07 09:42 4,891,472 -rahs---- C:\Programme\AFBCGZ.scr
2008-08-26 11:21 . 2008-08-18 18:41 1,832,272 --a------ C:\Programme\JXDVSOXVDTXIH.scr
2008-08-26 11:21 . 2008-07-07 09:41 1,562,448 --a------ C:\Programme\SDHelper.dll
2008-08-26 11:21 . 2008-07-07 09:36 1,430,016 --a------ C:\Programme\SDFiles.exe
2008-08-26 11:21 . 2008-07-07 09:42 1,429,840 -rahs---- C:\Programme\SDUpdate.exe
2008-08-26 11:21 . 2008-07-07 09:42 1,429,840 -rahs---- C:\Programme\LVIWMSFA.scr
2008-08-26 11:21 . 2008-07-07 09:37 958,976 --a------ C:\Programme\SDShred.exe
2008-08-26 11:21 . 2008-07-07 09:42 835,920 --a------ C:\Programme\Tools.dll
2008-08-26 11:21 . 2008-07-07 09:42 809,296 --a------ C:\Programme\SDWinSec.exe
2008-08-26 11:21 . 2008-08-26 11:19 696,200 --a------ C:\Programme\unins000.exe
2008-08-26 11:21 . 2008-07-07 09:41 428,880 --a------ C:\Programme\blindman.exe
2008-08-26 11:21 . 2008-07-07 09:42 414,544 --a------ C:\Programme\SDMain.exe
2008-08-26 11:21 . 2008-06-19 18:35 333,288 --a------ C:\Programme\sqlite3.dll
2008-08-26 11:21 . 2008-06-14 11:24 255,392 --a------ C:\Programme\DelZip179.dll
2008-08-26 11:21 . 2007-04-02 20:22 34,472 --a------ C:\Programme\aports.dll
2008-08-26 11:21 . 2008-08-26 11:21 21,449 --a------ C:\Programme\unins000.dat
2008-08-15 09:43 . 2008-08-15 09:43 0 --a------ C:\WINDOWS\hpqEmlSz.INI
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 12:30 32,256 ----a-w C:\WINDOWS\system32\drivers\Uad72.sys
2008-09-09 12:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-26 09:23 --------- d-----w C:\Programme\Languages
2008-08-26 09:23 --------- d-----w C:\Programme\Help
2008-08-26 09:21 13,182 ----a-w C:\Programme\unins000.msg
2008-08-26 09:21 --------- d-----w C:\Programme\Skins
2008-08-26 09:21 --------- d-----w C:\Programme\Dummies
2008-08-18 16:41 1,832,272 ------w C:\Programme\TeaTimer.exe
2008-07-22 13:31 --------- d-----w C:\Programme\Lavasoft
2008-07-22 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-14 13:18 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-14 11:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-07 07:41 939,344 ----a-w C:\Programme\advcheck.dll
2008-07-06 10:31 17,408 ----a-w C:\psapi.dll
2008-05-23 14:15 4,486 ----a-w C:\Programme\Urlaubsplaner.xml
2008-05-14 10:08 58 ----a-w C:\Programme\Urlaubsplaner.url
2008-01-30 08:56 70,512 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-23 11:40 49,450 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2007-04-02 18:22 25,726 ----a-w C:\Programme\messages.zres
2007-04-02 18:22 2,683 ----a-w C:\Programme\OptOut.ini
2007-04-02 18:22 2,128 ----a-w C:\Programme\Default configuration.ini
2006-04-19 07:25 84,418 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2005-09-27 07:30 278 ----a-w C:\Dokumente und Einstellungen\USER2\Anwendungsdaten\wklnhst.dat
.
((((((((((((((((((((((((((((( snapshot@2008-09-09_14.19.22.98 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-09 12:31:24 1,613,529 ----a-w C:\WINDOWS\Temp\.ttC.tmp.exe
+ 2008-09-09 12:31:35 69,632 ----a-w C:\WINDOWS\Temp\nsu10.tmp\euladlg.dll
+ 2008-09-09 12:31:26 53,248 ----a-w C:\WINDOWS\Temp\nsu10.tmp\MachineKey.dll
+ 2008-09-09 12:31:32 8,192 ----a-w C:\WINDOWS\Temp\nsu10.tmp\md5dll.dll
+ 2008-09-09 12:31:26 3,072 ----a-w C:\WINDOWS\Temp\nsu10.tmp\Mutex.dll
+ 2008-09-09 12:31:34 53,248 ----a-w C:\WINDOWS\Temp\nsu10.tmp\rc4hex.dll
+ 2008-09-09 12:31:28 10,240 ----a-w C:\WINDOWS\Temp\nsu10.tmp\System.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C543F87B-D228-466C-8432-A6F7D1C44565}]
2008-07-09 12:46 935216 --a------ C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF8E1F96-FF80-4E85-AD4F-0F19166E21DB}]
2008-07-09 12:46 935216 --a------ C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="C:\Programme\TeaTimer.exe" [2008-08-18 1832272]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 28672]
"avgnt"="C:\Programme\AntiVir fuer KEN!\avgnt.exe" [2007-05-03 327720]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-25 185896]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl04e\BrStDvPt.exe" [2004-05-25 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 851968]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"FineReader7NewsReaderPro"="C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-02 278528]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"KEN Taskbar Client"="C:\Programme\KEN!\kentbcli.exe" [2005-03-07 167936]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"inrhclsgj0eg4c"="C:\WINDOWS\Temp\.ttC.tmp.exe" [2008-09-09 1613529]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2003-10-31 11:01 8704 C:\WINDOWS\system32\PCANotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\suzkaco]
2008-09-09 14:30 21504 C:\WINDOWS\system32\suzkaco.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uad72.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\192.168.22.1\\d\\Programme\\New-Vision-Soft\\Calender3\\Calender.exe"=
"C:\\Programme\\KEN!\\kentbcli.exe"=
"C:\\Programme\\New-Vision-Soft\\Calender3\\Calender.exe"=
"C:\\Programme\\Symantec\\pcAnywhere\\WinAw32.exe"=
"C:\\Programme\\Symantec\\pcAnywhere\\awhost32.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\Sage\\GSBuchhalter\\Gsbuchhalter.exe"=
R0 Uad72;Uad72;C:\WINDOWS\system32\Drivers\Uad72.sys [2008-09-09 32256]
R1 SSHDRV63;SSHDRV63;C:\WINDOWS\system32\drivers\SSHDRV63.sys [2007-07-11 108544]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-24 59520]
R2 KEN Client Service;AVM KEN Klient;C:\Programme\KEN!\KENCLI.EXE [2005-03-07 143360]
R2 SageDB 5.0;SageDB 5.0;C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe [2007-05-18 5685248]
R3 FUS2BASE;FRITZ!Card USB;C:\WINDOWS\system32\DRIVERS\fus2base.sys [2005-11-29 578432]
R3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers\tcpsr.sys [ ]
S3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2005-11-29 53632]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 BrUsbScn;Brother MFC-Scannertreiber (USB);C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 10368]
S3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2007-05-07 537600]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
*Newly Created Service* - TCPSR
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R1 -: HKCU-Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 14:32:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\suzkaco.dll
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\suzkaco.dll
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
Prozess: C:\WINDOWS\system32\lsass.exe
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\BIN\ibguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Temp\xjn7.tmp
C:\PROGRA~1\Borland\INTERB~1\BIN\ibserver.exe
C:\WINDOWS\Temp\.ttC.tmp
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-09 14:37:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-09 12:37:23
ComboFix2.txt 2008-09-09 12:19:58
Pre-Run: 13 Verzeichnis(se), 72,351,473,664 Bytes frei
Post-Run: 16 Verzeichnis(se), 72,312,295,424 Bytes frei
233
|
