Trojaner-Board - Luefter dreht hoch, Firefox und Windows Desgin veraendert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Luefter dreht hoch, Firefox und Windows Desgin veraendert? (https://www.trojaner-board.de/64879-luefter-dreht-hoch-firefox-windows-desgin-veraendert.html)

Luefter dreht hoch, Firefox und Windows Desgin veraendert?

Hallo,

Also ich hab gerade etwas herumgesurft und gechattet via MSN und ploetzlich merke ich wie das Design des Randes vom Firfox nicht mehr wie gewohnt blau ist (Windows XP halt) sondern so altmodisch wie bei Windows 200 wird.

Kurz darauf aendert sich das gesamte Design von meinem PC von dem blauen XP-Stil zum klassischen Windows 2000-Stil.

Und dann als Kroenung dreht auch noch mein Luefter voll auf 2500rpm auf.

Was mir vorher schon aufgefallen ist, dass im processxp dauernd der Prozess wmiprvse.exe am laufen war und der ja von Windows fuer die Kontrolle von Rechnern in einem Netzwerk verwendet wird.

Als dann der Luefter zum aufheulen angefangen hab, hab ich sofort den Resetknopf gedrueckt und an meinem Modem auch zwecks IP-Aenderung. Ich hab da naemlich einen verdacht, so 10 min bevor es angefangen hat, hat einer meiner MSN_Kontakte fuer mich einen Ordner freigeben wollen und da beommt man ja eine Anfrage von MSN und ich hab auf NEIN geklickt, koennt er sich vll dadurch meine IP Adresse ergaunert haben :aufsmaul:

Auf jeden Fall hab ich meinen PC jetzt neu gestartet und im Abgesicherten Modus gestartet, als erstes hab ich einen Scan mit Spybot Search&Destroy gemacht, der hat nichts gefunden.

Dann hab ich mal HijackThis drueberlaufen lassen

Hier ist das Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:34:58, on 21.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Safe mode
 

Running processes:
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe

c:\programme\avira\antivir personaledition classic\avscan.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [Ai Nap] "C:\Programme\ASUS\AI Suite\AiNap\AiNap.exe"

O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe"

O4 - HKLM\..\Run: [Cpu Level Up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe

O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Programme\ASUS\PC Probe II\Probe2.exe" 1

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [P17Helper] Rundll32 SPIRun.dll,RunDLLEntry

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
 

End of file - 4400 bytes

Hab mir auch die Logauswertung bei HijackThis dazu angesehen und da sind mir zwei Sachen aufgefallen:

O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe"

O4 - HKLM\..\Run: [Cpu Level Up help] C:\Programme\ASUS\AI Suite\CpuLevelUpHelp.exe

Lasse gerade AntiVir drueber laufen der hat aber auf der Systempartition nichts gefunden.

Danke fuer eure Hilfe im Voraus

mfg

Hallo,

erstell bitte erneut ein HijackThis Logfile, bitte aber nicht mehr so verstümmelt. ;) (Ohne Zeilenumbruch)

Nebenbei bitte auch noch das:

LADS für Alternate Data Streams:

Lade Dir lads.zip von hier.
Entpacke das Archiv nach C:\. Dort befinden sich jetzt lads.exe und Lads_ReadMe.txt.

Klicke nun auf Start => Ausführen => cmd eingeben und Enter drücken.
Es öffnet sich nun die Eingabeaufforderung. Dort tippst du die folgenden Befehle der Reihe nach ein:

cd c:\
lads /s >lads.txt

Sobald der Cursor wieder bei c:\> blinkt kannst Du Exit eingeben und drückst Enter.
Öffne nun die C:\lads.txt mit dem Editor und kopiere dessen Inhalt in Deine nächste Antwort.

Anmerkung:

Falls beim Ausführen von LADS die Nachricht "Der Befehl lads ist entweder falsch geschrieben oder konnte nicht gefunden werden" kommt, liegt die Datei nicht unter C:\. Kopiere sie in dem Fall dorthin.
Falls die Datei zu groß ist um sie im Forum zu posten, nutze einen Upload-Dienst, wie file-upload.net und poste den Downloadlink.

Hallo

Danke erstmal lad mir gleich das Programm runter.

Soll ich es im abgesicherten Modus oder im normalen laufen lassen?

Steht glaub nichts vom Safe Mode dran. :p

Sodala

Code:



LADS - Freeware version 4.10
 

(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
 

This program lists files with alternate data streams (ADS)
 

Use LADS on your own risk!
 
 
 

Scanning directory C:\ with subdirectories
 
 
 

      size  ADS in file
 

----------  ---------------------------------
 

         0  C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\Thumbs.db:encryptable
 

Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
 

Error 32 opening C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
 

Error 32 opening C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
 

Error 32 opening C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
 

        26  C:\Dokumente und Einstellungen\c\Desktop\05_-_I_Want_To_Be_Free.mp3:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\6704_karte_0229_manhattan.jpg:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\lads.zip:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\Queen_-_I_Want_It_All.mp3:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\Run - Snow Patrol.mp3:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\Setups\EraserSetup32_586a.exe:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\Setups\WindowsXP-KB936929-SP3-x86-DEU.exe:Zone.Identifier
 

        26  C:\Dokumente und Einstellungen\c\Desktop\Systemzeuch\HJTInstall202.exe:Zone.Identifier
 

         0  C:\Dokumente und Einstellungen\c\Desktop\Systemzeuch\Thumbs.db:encryptable
 

        26  C:\Dokumente und Einstellungen\c\Desktop\ubuntu-8.10-desktop-i386.iso:Zone.Identifier
 

         0  C:\Dokumente und Einstellungen\c\Eigene Dateien\Eigene Musik\Sarah Brightman\Thumbs.db:encryptable
 

         0  C:\Dokumente und Einstellungen\c\Eigene Dateien\Eigene Musik\Sarah Brightman\Very Best of Sarah Brightman- 1990-2000\Thumbs.db:encryptable
 

         0  C:\Dokumente und Einstellungen\c\Eigene Dateien\Eigene Musik\Various Artists\Thumbs.db:encryptable
 

        26  C:\Dokumente und Einstellungen\c\Eigene Dateien\index.php.htm:Zone.Identifier
 

Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
 

Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
 

Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Temp\Perflib_Perfdata_2cc.dat
 

Error 32 opening C:\Dokumente und Einstellungen\c\Lokale Einstellungen\Temp\Perflib_Perfdata_768.dat
 

Error 32 opening C:\Dokumente und Einstellungen\c\NTUSER.DAT
 

Error 32 opening C:\Dokumente und Einstellungen\c\ntuser.dat.LOG
 

Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
 

Error 32 opening C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
 

Error 32 opening C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
 

Error 32 opening C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
 

Error 32 opening C:\pagefile.sys
 

        26  C:\System Volume Information\_restore{BC2BDDA1-4132-4D96-A82F-F42BF168DDE9}\RP20\A0000653.exe:Zone.Identifier
 

         0  C:\System Volume Information\_restore{BC2BDDA1-4132-4D96-A82F-F42BF168DDE9}\RP48\A0004869.tlb:Zone.Identifier
 

        26  C:\System Volume Information\_restore{BC2BDDA1-4132-4D96-A82F-F42BF168DDE9}\RP53\A0005286.exe:Zone.Identifier
 

Error 32 opening C:\WINDOWS\system32\config\default
 

Error 32 opening C:\WINDOWS\system32\config\default.LOG
 

Error 32 opening C:\WINDOWS\system32\config\SAM
 

Error 32 opening C:\WINDOWS\system32\config\SAM.LOG
 

Error 32 opening C:\WINDOWS\system32\config\SECURITY
 

Error 32 opening C:\WINDOWS\system32\config\SECURITY.LOG
 

Error 32 opening C:\WINDOWS\system32\config\software
 

Error 32 opening C:\WINDOWS\system32\config\software.LOG
 

Error 32 opening C:\WINDOWS\system32\config\system
 

Error 32 opening C:\WINDOWS\system32\config\system.LOG
 
 
 

The following summary might be incorrect because there was at least one error!
 
 
 

       312 bytes in 20 ADS listed

PS:

Edit:
Zu früh gelesen :(

Edit2:

Du hast Gromozonreste auf dem Rechner.
Lass mal noch folgendes Tool drüberjagen:

Gromozon Rootkit Removal Tool:

Downloade das Gromozon Removal Tool von Prevx1.
Speichere es auf Deinem Desktop ab.
Beende nun alle Programme, schließe alle Fenster und deaktiviere ggf. Hintergrundwächter Deines AVP und den TeaTimer (falls vorhanden).
Starte die 136DFTC.exe durch einen Doppelklick und klicke auf "Scan":

http://image.hijackthis.eu/prevx/rk1.jpg
Wenn das Programm fertig ist, wirst Du gefragt, ob Du deinen Rechner neustarten willst. Mache dies, um den Scan zu vollenden.
Nach dem Neustart wird der Scan fortgesetzt.
Es wird ein Bericht erstellt, das gromozon_removal.log.

http://image.hijackthis.eu/prevx/rk2.jpg
Suche das gromozon_removal.log mit der Windows Suche und kopiere den Inhalt in Deine nächste Antwort hinein.
Beende das Programm mit exit.

Lads File ist eh schon oben :)

Posts haben sich überschnitten. :killpc:

Hier nochmal:
http://www.trojaner-board.de/64879-luefter-dreht-hoch-firefox-und-windows-desgin-veraendert.html#post393683

Code:

Removal tool loaded into memory
 

Gromozon rootkit component not detected - searching for other components
 

Scanning: C:\WINDOWS
 

Scanning: C:\Programme\Gemeinsame Dateien
 
 
 
 
 

Trojan.Gromozon does not exist - your system is clean.

Is das jetzt gut oder nicht? Da hast ja immerhin gesagt ich hab soetwas.

Sieht gut aus, kein Gromozon auf dem Rechner. ;)
Da sich das jetzt als negativ erwiesen hat, machen wir so weiter:

1.)
Mit HijackThis fixen:

Öffne HijackThis
Klicke auf "do a system scan only"
Setze ein Häkchen bei:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing
Klicke auf "fix checked"
Starte den Rechner neu

2.)
ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Mit HijackThis ist alles gefixed!

Bitte das komplette ComboFix Logfile posten. ;)

Code:

ComboFix 08-11-21.03 - Mario 2008-11-21 21:44:46.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1657 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Mario\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-21 bis 2008-11-21  ))))))))))))))))))))))))))))))

.
 

2008-11-21 21:39 . 2008-11-21 21:39        <DIR>        d--------        c:\programme\CCleaner

2008-11-21 21:17 . 2008-11-21 21:27        <DIR>        d-a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2008-11-21 20:57 . 2007-01-04 04:10        61,952        --a------        C:\lads.exe

2008-11-21 20:35 . 2008-11-21 20:35        <DIR>        dr-------        c:\dokumente und einstellungen\Administrator\Eigene Dateien

2008-11-21 17:53 . 2008-11-21 17:53        <DIR>        d--------        c:\windows\Sun

2008-11-15 16:20 . 2008-10-25 20:15        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Vorlagen

2008-11-15 16:20 . 2008-10-25 20:05        <DIR>        dr-------        c:\dokumente und einstellungen\Administrator\Startmenü

2008-11-15 16:20 . 2008-10-25 20:05        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Netzwerkumgebung

2008-11-15 16:20 . 2008-11-21 21:45        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen

2008-11-15 16:20 . 2008-10-25 20:05        <DIR>        d--------        c:\dokumente und einstellungen\Administrator\Favoriten

2008-11-15 16:20 . 2008-10-25 20:05        <DIR>        d--h-----        c:\dokumente und einstellungen\Administrator\Druckumgebung

2008-11-15 16:20 . 2008-10-25 20:05        <DIR>        dr-h-----        c:\dokumente und einstellungen\Administrator\Anwendungsdaten

2008-11-15 16:20 . 2008-11-21 20:35        <DIR>        d--------        c:\dokumente und einstellungen\Administrator

2008-11-15 15:37 . 2008-11-15 15:37        <DIR>        d--------        c:\programme\Trend Micro

2008-11-13 16:07 . 2008-10-24 12:21        455,296        -----c---        c:\windows\system32\dllcache\mrxsmb.sys

2008-11-13 16:06 . 2008-09-04 18:15        1,106,944        -----c---        c:\windows\system32\dllcache\msxml3.dll

2008-10-30 16:06 . 2008-10-30 16:06        268        --ah-----        C:\sqmdata02.sqm

2008-10-30 16:06 . 2008-10-30 16:06        244        --ah-----        C:\sqmnoopt02.sqm

2008-10-29 23:03 . 2008-10-29 23:03        268        --ah-----        C:\sqmdata01.sqm

2008-10-29 23:03 . 2008-10-29 23:03        244        --ah-----        C:\sqmnoopt01.sqm

2008-10-29 18:39 . 2008-10-29 18:39        268        --ah-----        C:\sqmdata00.sqm

2008-10-29 18:39 . 2008-10-29 18:39        244        --ah-----        C:\sqmnoopt00.sqm

2008-10-29 16:29 . 2008-10-03 17:58        6,066,176        -----c---        c:\windows\system32\dllcache\ieframe.dll

2008-10-29 16:29 . 2007-04-17 10:32        2,455,488        -----c---        c:\windows\system32\dllcache\ieapfltr.dat

2008-10-29 16:29 . 2007-03-08 06:09        1,040,384        -----c---        c:\windows\system32\dllcache\ieframe.dll.mui

2008-10-29 16:29 . 2008-08-26 08:57        459,264        -----c---        c:\windows\system32\dllcache\msfeeds.dll

2008-10-29 16:29 . 2008-08-26 08:57        383,488        -----c---        c:\windows\system32\dllcache\ieapfltr.dll

2008-10-29 16:29 . 2008-08-26 08:57        267,776        -----c---        c:\windows\system32\dllcache\iertutil.dll

2008-10-29 16:29 . 2008-08-26 08:57        63,488        -----c---        c:\windows\system32\dllcache\icardie.dll

2008-10-29 16:29 . 2008-08-26 08:57        52,224        -----c---        c:\windows\system32\dllcache\msfeedsbs.dll

2008-10-29 16:29 . 2008-08-25 09:38        13,824        -----c---        c:\windows\system32\dllcache\ieudinit.exe

2008-10-29 15:00 . 2008-11-21 18:44        116        --a------        c:\windows\NeroDigital.ini

2008-10-29 14:59 . 2008-10-29 14:59        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Nero

2008-10-29 14:59 . 2008-10-29 14:59        <DIR>        d--------        c:\programme\Gemeinsame Dateien\LightScribe

2008-10-29 14:58 . 2008-10-29 14:58        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Ahead

2008-10-29 14:58 . 2008-10-29 14:58        <DIR>        d--------        c:\programme\Ahead

2008-10-29 14:58 . 2004-07-26 17:16        1,568,768        ---------        c:\windows\system32\ImagX7.dll

2008-10-29 14:58 . 2004-07-26 17:16        476,320        ---------        c:\windows\system32\ImagXpr7.dll

2008-10-29 14:58 . 2004-07-26 17:16        471,040        ---------        c:\windows\system32\ImagXRA7.dll

2008-10-29 14:58 . 2004-07-09 09:43        364,544        ---------        c:\windows\system32\TwnLib4.dll

2008-10-29 14:58 . 2004-07-26 17:16        262,144        ---------        c:\windows\system32\ImagXR7.dll

2008-10-29 14:58 . 2000-06-26 11:45        106,496        --a------        c:\windows\system32\TwnLib20.dll

2008-10-28 18:52 . 2008-10-30 18:50        <DIR>        d--------        c:\dokumente und einstellungen\Mario\Contacts

2008-10-28 18:51 . 2008-10-28 18:51        <DIR>        d----c---        c:\windows\system32\DRVSTORE

2008-10-28 18:51 . 2008-10-28 18:51        <DIR>        d--------        c:\programme\MSN Messenger

2008-10-27 21:28 . 2008-10-27 21:28        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KONAMI

2008-10-27 21:05 . 2008-10-27 21:07        <DIR>        d--------        c:\windows\ServicePackFiles

2008-10-27 21:03 . 2006-12-29 00:31        19,569        --a------        c:\windows\002681_.tmp

2008-10-27 21:01 . 2008-10-27 21:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Test Drive Unlimited

2008-10-27 20:47 . 2008-04-14 07:28        14,720        --a------        c:\windows\system32\drivers\kbdhid.sys

2008-10-27 20:46 . 2008-10-27 20:46        <DIR>        d--------        c:\programme\Logitech

2008-10-27 20:46 . 2008-10-27 20:46        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Logitech

2008-10-27 20:46 . 2004-04-14 11:08        44,064        --a------        c:\windows\system32\drivers\WmXlCore.sys

2008-10-27 20:46 . 2004-04-14 11:08        21,280        --a------        c:\windows\system32\drivers\WmFilter.sys

2008-10-27 20:46 . 2004-04-14 11:08        10,144        --a------        c:\windows\system32\drivers\WmBEnum.sys

2008-10-27 20:46 . 2004-04-14 11:08        5,600        --a------        c:\windows\system32\drivers\WmVirHid.sys

2008-10-27 17:12 . 2008-09-15 16:24        1,846,528        -----c---        c:\windows\system32\dllcache\win32k.sys

2008-10-27 16:33 . 2008-06-14 18:32        273,024        ---------        c:\windows\system32\drivers\bthport.sys

2008-10-27 16:33 . 2008-06-14 18:32        273,024        -----c---        c:\windows\system32\dllcache\bthport.sys

2008-10-27 15:16 . 2008-09-08 11:41        333,824        -----c---        c:\windows\system32\dllcache\srv.sys

2008-10-27 15:07 . 2008-10-27 15:07        <DIR>        d--------        c:\programme\Eraser

2008-10-27 15:07 . 2008-10-27 15:07        <DIR>        d--h-----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}

2008-10-27 15:07 . 2008-08-14 14:19        2,191,488        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe

2008-10-27 15:07 . 2008-08-14 14:19        2,147,840        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe

2008-10-27 15:07 . 2008-08-14 14:19        2,068,352        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe

2008-10-27 15:07 . 2008-08-14 14:19        2,026,496        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe

2008-10-27 15:00 . 2008-04-11 20:04        691,712        -----c---        c:\windows\system32\dllcache\inetcomm.dll

2008-10-27 15:00 . 2008-05-08 15:02        203,136        -----c---        c:\windows\system32\dllcache\rmcast.sys

2008-10-27 14:53 . 2008-10-15 17:35        337,408        -----c---        c:\windows\system32\dllcache\netapi32.dll

2008-10-25 22:58 . 2008-10-25 22:58        <DIR>        d--------        c:\programme\Windows Media Connect 2

2008-10-25 22:58 . 2008-10-25 22:58        <DIR>        d--------        C:\c841c7627ae639f544

2008-10-25 22:58 . 2006-02-28 13:00        221,184        --a------        c:\windows\system32\wmpns.dll

2008-10-25 22:57 . 2008-10-25 22:57        <DIR>        d--------        c:\windows\system32\LogFiles

2008-10-25 22:57 . 2008-10-25 22:58        <DIR>        d--------        c:\windows\system32\drivers\UMDF

2008-10-25 22:57 . 2007-08-10 20:44        26,488        --a------        c:\windows\system32\spupdsvc.exe

2008-10-25 22:53 . 2008-08-06 14:27        499,712        --a------        c:\windows\system32\msvcp71.dll

2008-10-25 22:53 . 2008-08-06 14:29        348,160        --a------        c:\windows\system32\msvcr71.dll

2008-10-25 22:52 . 2008-10-25 22:53        <DIR>        d--------        c:\windows\system32\Adobe

2008-10-25 22:52 . 2008-11-11 20:43        <DIR>        d--------        c:\programme\TweakNow RegCleaner Std

2008-10-25 22:50 . 2008-10-25 22:50        13,646        --a------        c:\windows\system32\wpa.bak

2008-10-25 22:44 . 2008-10-25 22:57        <DIR>        d--------        c:\programme\Java

2008-10-25 22:44 . 2008-06-10 01:32        73,728        --a------        c:\windows\system32\javacpl.cpl

2008-10-25 22:42 . 2008-11-10 18:24        <DIR>        d--------        c:\programme\Spybot - Search & Destroy

2008-10-25 22:42 . 2008-11-21 21:41        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-10-25 22:41 . 2008-10-25 22:41        <DIR>        d--------        c:\programme\VideoLAN

2008-10-25 22:41 . 2008-10-25 22:41        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Java

2008-10-25 22:41 . 2008-10-25 22:41        <DIR>        d--------        c:\dokumente und einstellungen\Mario\Anwendungsdaten\vlc

2008-10-25 22:36 . 2008-10-25 22:36        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe

2008-10-25 22:34 . 2008-10-25 22:34        <DIR>        d--------        c:\windows\Logs

2008-10-25 22:32 . 2008-10-25 22:32        <DIR>        d--------        c:\programme\Avira

2008-10-25 22:32 . 2008-10-25 22:32        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2008-10-25 22:27 . 2008-10-25 22:27        <DIR>        d--------        c:\programme\ZyXEL Communications Corporation

2008-10-25 22:27 . 2004-10-28 18:24        36,352        --a------        c:\windows\system32\uninst_Zyxel.exe

2008-10-25 22:27 . 2005-07-12 13:44        15,872        --a------        c:\windows\system32\InsDrvZD64.dll

2008-10-25 22:17 . 2005-08-16 13:50        278,016        --a------        c:\windows\system32\drivers\ZD1211U.sys

2008-10-25 22:17 . 2004-01-14 10:25        81,920        --a------        c:\windows\system32\ZDPN50.dll

2008-10-25 22:17 . 2004-04-28 15:32        81,920        --a------        c:\windows\system32\ZDBRGDLL.dll

2008-10-25 22:17 . 2004-03-23 15:38        28,672        --a------        c:\windows\system32\InsDrvZD.dll

2008-10-25 22:17 . 2003-03-14 11:24        24,576        --a------        c:\windows\system32\ZyDelReg.exe

2008-10-25 22:17 . 2004-06-30 12:54        19,200        --a------        c:\windows\system32\ZDBRGSYS.sys

2008-10-25 22:17 . 2004-01-14 10:30        17,151        --a------        c:\windows\system32\ZDPNDIS5.sys

2008-10-25 22:10 . 2008-10-25 22:10        0        --a------        c:\windows\nsreg.dat

2008-10-25 22:05 . 2008-10-25 22:05        <DIR>        d--------        c:\programme\Creative

2008-10-25 22:05 . 2008-10-26 17:03        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Creative

2008-10-25 22:04 . 2008-03-18 16:02        22,833,304        --a------        c:\windows\system32\AppSetup.exe

2008-10-25 22:00 . 2008-10-25 22:00        <DIR>        d--------        c:\windows\nview

2008-10-25 22:00 . 2008-05-16 10:48        446,464        --a------        c:\windows\system32\NVUNINST.EXE

2008-10-25 22:00 . 2008-05-16 13:01        446,464        --a------        c:\windows\system32\nvudisp.exe

2008-10-25 22:00 . 2008-11-21 21:37        186,097        --a------        c:\windows\system32\nvapps.xml

2008-10-25 22:00 . 2008-05-16 13:01        18,070        --a------        c:\windows\system32\nvdisp.nvu

2008-10-25 21:58 . 2008-10-25 21:59        <DIR>        d--------        C:\NVIDIA

2008-10-25 21:42 . 2008-10-25 21:42        <DIR>        d--------        c:\programme\ASUS

2008-10-25 21:42 . 2006-01-10 15:50        24,576        --a------        c:\windows\system32\AsIO.dll

2008-10-25 21:42 . 2007-12-17 16:14        12,400        --a------        c:\windows\system32\drivers\AsIO.sys

2008-10-25 21:42 . 2008-01-04 12:34        11,832        --a------        c:\windows\system32\drivers\AsInsHelp64.sys

2008-10-25 21:42 . 2008-01-04 12:34        10,216        --a------        c:\windows\system32\drivers\AsInsHelp32.sys

2008-10-25 21:41 . 2008-10-25 21:41        <DIR>        d--------        c:\windows\RaidTool

2008-10-25 21:41 . 2008-10-25 21:41        <DIR>        d--------        c:\windows\OPTIONS

2008-10-25 21:41 . 2008-10-25 21:41        <DIR>        d--------        C:\RaidTool

2008-10-25 21:41 . 2008-10-25 21:41        <DIR>        d--------        c:\programme\Realtek

2008-10-25 21:41 . 2008-10-27 20:46        <DIR>        d--h-----        c:\programme\InstallShield Installation Information

2008-10-25 21:41 . 2008-10-27 20:49        <DIR>        d--------        c:\programme\Gemeinsame Dateien\InstallShield

2008-10-25 21:41 . 2007-03-21 15:23        1,953,792        --a------        c:\windows\system32\xRaidSetup.exe

2008-10-25 21:41 . 2007-03-20 20:15        143,360        --a------        c:\windows\system32\xRaidAPI.dll

2008-10-25 21:41 . 2006-06-28 15:25        81,920        --a------        c:\windows\system32\drivers\Rtenicxp.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-25 21:05        413,696        ----a-w        c:\windows\system32\wrap_oal.dll

2008-10-25 21:05        102,400        ----a-w        c:\windows\system32\OpenAL32.dll

2008-10-25 19:19        ---------        d-----w        c:\programme\microsoft frontpage

2008-10-25 19:17        ---------        d-----w        c:\programme\Online-Dienste

2008-10-25 19:17        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste

2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys

2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll

2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll

2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll

2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll

2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll

2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe

2008-10-16 13:09        43,544        ----a-w        c:\windows\system32\wups2.dll

2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\wups.dll

2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys

2008-09-10 01:13        1,307,648        ------w        c:\windows\system32\msxml6.dll

2008-09-04 17:15        1,106,944        ----a-w        c:\windows\system32\msxml3.dll

2008-08-26 07:57        826,368        ----a-w        c:\windows\system32\wininet.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-11-17 53341]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"Eraser"="c:\programme\Eraser\Eraser.exe" [2007-12-23 916240]

"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]

"Ai Nap"="c:\programme\ASUS\AI Suite\AiNap\AiNap.exe" [2007-09-06 1426432]

"CPU Power Monitor"="c:\programme\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe" [2007-10-04 626176]

"Cpu Level Up help"="c:\programme\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-09-11 880640]

"Launch PC Probe II"="c:\programme\ASUS\PC Probe II\Probe2.exe" [2008-01-24 2135552]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-10-25 266497]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"P17Helper"="SPIRun.dll" [2006-07-03 c:\windows\system32\SPIRun.dll]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

ZyXEL G-220 Utility GUI.lnk - c:\programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2008-10-25 1318912]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\PES\\pes2009.exe"=

"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"c:\\Programme\\MSN Messenger\\livecall.exe"=
 

S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1211u.sys [2008-10-25 278016]
 

*Newly Created Service* - PROCEXP90

.

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\c\Anwendungsdaten\Mozilla\Firefox\Profiles\il6aw0zo.default\

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-21 21:45:29

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  P17Helper = Rundll32 SPIRun.dll,RunDLLEntry? 
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-21 21:46:00

ComboFix-quarantined-files.txt  2008-11-21 20:45:50
 

Vor Suchlauf: 10 Verzeichnis(se), 229.357.293.568 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 229,346,512,896 Bytes frei
 

217        --- E O F ---        2008-11-14 13:37:22

sry

So,
was ist in diesem Ordner:

Zitat:

C:\c841c7627ae639f544

Und bitte diese Dateien überprüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

c:\windows\002681_.tmp

c:\windows\system32\SPIRun.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

In dem Ordner C:\c841c7627ae639f544 ist noch ein Unterordner der heisst Update und in dem ist eine Update.exe (Windows Service Pack Setup/ Microsoft Corporation)

Kommt mir seltsam vor.
Lade die trotzdem auch bei Virustotal hoch und poste das Ergebnis.

C:\windows\002681_.tmp

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.21.0        2008.11.21        -

AntiVir        7.9.0.35        2008.11.21        -

Authentium        5.1.0.4        2008.11.21        -

Avast        4.8.1281.0        2008.11.21        -

AVG        8.0.0.199        2008.11.21        -

BitDefender        7.2        2008.11.21        -

CAT-QuickHeal        10.00        2008.11.21        -

ClamAV        0.94.1        2008.11.21        -

DrWeb        4.44.0.09170        2008.11.21        -

eSafe        7.0.17.0        2008.11.19        -

eTrust-Vet        31.6.6221        2008.11.21        -

Ewido        4.0        2008.11.21        -

F-Prot        4.4.4.56        2008.11.21        -

F-Secure        8.0.14332.0        2008.11.21        -

Fortinet        3.117.0.0        2008.11.21        -

GData        19        2008.11.21        -

Ikarus        T3.1.1.45.0        2008.11.21        -

K7AntiVirus        7.10.530        2008.11.21        -

Kaspersky        7.0.0.125        2008.11.21        -

McAfee        5441        2008.11.21        -

McAfee+Artemis        5440        2008.11.20        -

Microsoft        1.4104        2008.11.21        -

NOD32        3631        2008.11.21        -

Norman        5.80.02        2008.11.21        -

Panda        9.0.0.4        2008.11.21        -

PCTools        4.4.2.0        2008.11.21        -

Prevx1        V2        2008.11.21        Malicious Software

Rising        21.04.42.00        2008.11.21        -

SecureWeb-Gateway        6.7.6        2008.11.21        -

Sophos        4.35.0        2008.11.21        -

Sunbelt        3.1.1823.2        2008.11.21        -

Symantec        10        2008.11.21        -

TheHacker        6.3.1.1.159        2008.11.19        -

TrendMicro        8.700.0.1004        2008.11.21        -

VBA32        3.12.8.9        2008.11.21        -

ViRobot        2008.11.18.1474        2008.11.18        -

VirusBuster        4.5.11.0        2008.11.21        -

weitere Informationen

File size: 19569 bytes

MD5...: 8737f6f4c8ec1e2a9ea5516f1b3ae1ad

SHA1..: dc4a321cfa7f5f269134932e6bda90badd8974ba

SHA256: 831e2030a051703f571ef7fa7f663dc322cd99e2c431d77f6eabc738e34742f0

SHA512: 652a70c6160085fc22c8031c925274be692ed54bbea4ddb9404b011e85f3ae50

39c9e267bf8fa05febc45e1c24573c5e33f5cdd83721775821c2fe0d822c82aa

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8737F6F471C8EC1E4C2A009EA5516F001B3AE1AD

c:\windows\system32\SPIRUN.dll

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.21.0        2008.11.21        -

AntiVir        7.9.0.35        2008.11.21        -

Authentium        5.1.0.4        2008.11.21        -

Avast        4.8.1281.0        2008.11.21        -

AVG        8.0.0.199        2008.11.21        -

BitDefender        7.2        2008.11.21        -

CAT-QuickHeal        10.00        2008.11.21        -

ClamAV        0.94.1        2008.11.21        -

DrWeb        4.44.0.09170        2008.11.21        -

eSafe        7.0.17.0        2008.11.19        -

eTrust-Vet        31.6.6221        2008.11.21        -

Ewido        4.0        2008.11.21        -

F-Prot        4.4.4.56        2008.11.21        -

F-Secure        8.0.14332.0        2008.11.21        -

Fortinet        3.117.0.0        2008.11.21        -

GData        19        2008.11.21        -

Ikarus        T3.1.1.45.0        2008.11.21        -

K7AntiVirus        7.10.530        2008.11.21        -

Kaspersky        7.0.0.125        2008.11.21        -

McAfee        5441        2008.11.21        -

McAfee+Artemis        5440        2008.11.20        -

Microsoft        1.4104        2008.11.21        -

NOD32        3631        2008.11.21        -

Norman        5.80.02        2008.11.21        -

Panda        9.0.0.4        2008.11.21        -

PCTools        4.4.2.0        2008.11.21        -

Prevx1        V2        2008.11.21        -

Rising        21.04.42.00        2008.11.21        -

SecureWeb-Gateway        6.7.6        2008.11.21        -

Sophos        4.35.0        2008.11.21        -

Sunbelt        3.1.1823.2        2008.11.21        -

Symantec        10        2008.11.21        -

TheHacker        6.3.1.1.159        2008.11.19        -

TrendMicro        8.700.0.1004        2008.11.21        -

VBA32        3.12.8.9        2008.11.21        -

ViRobot        2008.11.18.1474        2008.11.18        -

VirusBuster        4.5.11.0        2008.11.21        -

weitere Informationen

File size: 10752 bytes

MD5...: 4335e08db7dbab46d13d0512f642b427

SHA1..: a5db5e8f228341d00b208059c96fb2f55edf70e4

SHA256: 65c461b141eedf6ef0d5ccfa6af349c74a7f571e84c7929e748d304ac485348b

SHA512: d4fbe9f6f3c411b8a8c40f3a3e46345d151377e7305edfec77fd61428a2a404b

02526a2028bd158981b4c6cd81d880e86939f53df76dcce432e9a5c904ec1525

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (80.9%)

Win32 Executable Generic (8.0%)

Win32 Dynamic Link Library (generic) (7.1%)

Generic Win/DOS Executable (1.8%)

DOS Executable Generic (1.8%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x40232c

timedatestamp.....: 0x44a8a063 (Mon Jul 03 04:43:15 2006)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1d39 0x1e00 6.81 19372a27cd37cf8df8f75f74d3518c16

.data 0x3000 0x360 0x200 0.30 6cfaa78c25d53392f4fc7323c2ba8d4b

.rsrc 0x4000 0x380 0x400 2.92 b175fc1b7adbeb13feec1b61df37f0ab

.reloc 0x5000 0x1d8 0x200 4.29 0ba953231d21778207499581b8dcb06c
 

( 5 imports )

> msvcrt.dll: malloc, _XcptFilter, free, memset, __3@YAXPAX@Z, _initterm, _amsg_exit, _adjust_fdiv, __2@YAPAXI@Z

> ntdll.dll: RtlUnwind

> KERNEL32.dll: GetTickCount, DisableThreadLibraryCalls, InterlockedCompareExchange, Sleep, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, InterlockedExchange, LocalAlloc, LocalFree

> USER32.dll: RegisterClassExA, DefWindowProcA, GetWindowLongA, UnregisterDeviceNotification, RegisterDeviceNotificationA, DestroyWindow, UnregisterClassA, GetMessageA, TranslateMessage, DispatchMessageA, CreateWindowExA

> ole32.dll: CoInitialize, CoCreateInstance
 

( 1 exports )

RunDLLEntry

Update.exe

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.21.0        2008.11.21        -

AntiVir        7.9.0.35        2008.11.21        -

Authentium        5.1.0.4        2008.11.21        -

Avast        4.8.1281.0        2008.11.21        -

AVG        8.0.0.199        2008.11.21        -

BitDefender        7.2        2008.11.21        -

CAT-QuickHeal        10.00        2008.11.21        -

ClamAV        0.94.1        2008.11.21        -

DrWeb        4.44.0.09170        2008.11.21        -

eSafe        7.0.17.0        2008.11.19        -

eTrust-Vet        31.6.6221        2008.11.21        -

Ewido        4.0        2008.11.21        -

F-Prot        4.4.4.56        2008.11.21        -

F-Secure        8.0.14332.0        2008.11.21        -

Fortinet        3.117.0.0        2008.11.21        -

GData        19        2008.11.21        -

Ikarus        T3.1.1.45.0        2008.11.21        -

K7AntiVirus        7.10.530        2008.11.21        -

Kaspersky        7.0.0.125        2008.11.21        -

McAfee        5441        2008.11.21        -

McAfee+Artemis        5440        2008.11.20        -

Microsoft        1.4104        2008.11.21        -

NOD32        3631        2008.11.21        -

Norman        5.80.02        2008.11.21        -

Panda        9.0.0.4        2008.11.21        -

PCTools        4.4.2.0        2008.11.21        -

Prevx1        V2        2008.11.21        -

Rising        21.04.42.00        2008.11.21        -

SecureWeb-Gateway        6.7.6        2008.11.21        -

Sophos        4.35.0        2008.11.21        -

Sunbelt        3.1.1823.2        2008.11.21        -

Symantec        10        2008.11.21        -

TheHacker        6.3.1.1.159        2008.11.19        -

TrendMicro        8.700.0.1004        2008.11.21        -

VBA32        3.12.8.9        2008.11.21        -

ViRobot        2008.11.18.1474        2008.11.18        -

VirusBuster        4.5.11.0        2008.11.21        -

weitere Informationen

File size: 725728 bytes

MD5...: e1d1507e2f45ad36a2a8053071574168

SHA1..: c3b2c8d7c1e8ec48fbc7164580cf415ce1120670

SHA256: 81a6c4d17cca53775004689713ad3f542f5453c0861f9ea450ff70186d0f6339

SHA512: 3decc3d063cfa9240f3c04471d1c696389b9299440f7a0e23be4553d838dc68b

a692cc6410c65813bdde799e684224e17a278f80251863a2d06f7b8718f7ab07

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (53.1%)

Windows Screen Saver (18.4%)

Win32 Executable Generic (12.0%)

Win32 Dynamic Link Library (generic) (10.6%)

Generic Win/DOS Executable (2.8%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x1065e2c

timedatestamp.....: 0x42c1810b (Tue Jun 28 16:55:39 2005)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x8ec5e 0x8ee00 6.70 1c8e8be02417527cd7131c54163b8b26

.data 0x90000 0x7da14 0x1000 4.53 d58b2f80c25f1a24868bf0b233385a9f

.rsrc 0x10e000 0x1f4bc 0x1f600 4.06 b1eb3ae91bf866492ca63030164c9818
 

( 19 imports )

> ADVAPI32.dll: RegSaveKeyA, AbortSystemShutdownA, RegOpenKeyExW, RegCloseKey, RegQueryValueExA, EnumServicesStatusExA, OpenServiceW, RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyExA, FreeSid, RegSetKeySecurity, SetSecurityDescriptorOwner, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AllocateAndInitializeSid, CloseServiceHandle, ControlService, StartServiceA, OpenServiceA, OpenSCManagerA, RegDeleteValueA, RegOpenKeyA, GetServiceDisplayNameA, QueryServiceStatus, SetFileSecurityA, AddAccessAllowedAce, InitializeAcl, EnumDependentServicesA, RegFlushKey, GetFileSecurityA, RegQueryInfoKeyA, AddAce, SetFileSecurityW, GetAclInformation, CopySid, GetLengthSid, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, AdjustTokenPrivileges, RegUnLoadKeyA, RegLoadKeyA, OpenProcessToken, DeregisterEventSource, ReportEventA, RegisterEventSourceA, GetTokenInformation, SetNamedSecurityInfoA, GetNamedSecurityInfoA, UnlockServiceDatabase, ChangeServiceConfigA, QueryServiceConfigA, LockServiceDatabase, InitiateSystemShutdownA

> COMCTL32.dll: CreatePropertySheetPageW, PropertySheetW

> CRYPT32.dll: CertAddCertificateContextToStore, CertSetCertificateContextProperty, CertCreateCertificateContext, CryptEncodeObject, CertOpenStore, CertCloseStore, CertFreeCertificateContext

> GDI32.dll: StretchBlt, GetDIBits, CreateCompatibleDC, DeleteObject, CreateFontIndirectA, GetDeviceCaps, BitBlt, SelectObject

> imagehlp.dll: EnumerateLoadedModules64

> KERNEL32.dll: GetFullPathNameA, ExitProcess, SetUnhandledExceptionFilter, SetEnvironmentVariableA, GetSystemInfo, lstrlenA, FreeResource, LockResource, LoadResource, FindResourceA, LoadLibraryExA, GetTempPathA, GetCurrentProcess, GetDiskFreeSpaceExA, GetDiskFreeSpaceA, GetCompressedFileSizeA, GetComputerNameA, ReleaseSemaphore, SetEndOfFile, InterlockedDecrement, GetCurrentThread, GetExitCodeThread, CreateSemaphoreA, MoveFileA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, DosDateTimeToFileTime, HeapCreate, HeapDestroy, GlobalAlloc, LocalFileTimeToFileTime, SetFileTime, GetFileInformationByHandle, GlobalLock, GlobalHandle, GlobalUnlock, GlobalFree, FileTimeToDosDateTime, OpenFileMappingA, GetVolumeInformationA, DuplicateHandle, GetSystemDefaultLangID, GetModuleFileNameW, ReleaseMutex, CopyFileW, GetTempFileNameW, GetVersionExW, ExpandEnvironmentStringsW, SearchPathW, lstrcpyW, lstrcpynW, GetDriveTypeW, lstrlenW, GetLocalTime, OpenEventA, GetFileSizeEx, GetFullPathNameW, InterlockedIncrement, CreateRemoteThread, VirtualAllocEx, WriteProcessMemory, CreateEventW, QueryDosDeviceA, DefineDosDeviceA, lstrcpynA, LoadLibraryW, FindFirstFileW, lstrcmpiW, FindNextFileW, MapViewOfFileEx, CreateProcessA, GetExitCodeProcess, FlushFileBuffers, HeapFree, GetProcessHeap, HeapAlloc, FlushViewOfFile, CreateFileW, DeleteFileW, GetFileTime, GetStartupInfoA, DelayLoadFailureHook, lstrcmpA, GetWindowsDirectoryW, GetVolumeInformationW, SetErrorMode, GetCommandLineA, GetCommandLineW, CreateMutexA, CreateProcessW, WaitForSingleObject, GetModuleHandleA, FormatMessageW, ReadFile, GetTickCount, CreateEventA, CreateThread, SetThreadPriority, WaitForMultipleObjects, SetEvent, RemoveDirectoryA, EnterCriticalSection, LeaveCriticalSection, FileTimeToLocalFileTime, FileTimeToSystemTime, DeviceIoControl, GetFileAttributesExA, VirtualFree, WritePrivateProfileStringA, SetCurrentDirectoryA, GetModuleFileNameA, GetEnvironmentVariableA, InitializeCriticalSection, Sleep, GetThreadLocale, GetLocaleInfoA, GetPrivateProfileStringA, VirtualAlloc, SetFilePointer, WriteFile, InterlockedCompareExchange, GetSystemDirectoryA, GetTempFileNameA, CopyFileA, OpenProcess, MoveFileExA, SetFileAttributesA, GetVersionExA, LocalAlloc, LocalFree, SetLastError, CreateFileA, GetFileSize, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle, GetDriveTypeA, ExpandEnvironmentStringsA, FindFirstFileA, FindNextFileA, FindClose, MultiByteToWideChar, WideCharToMultiByte, lstrcmpiA, FormatMessageA, GetFileAttributesA, CreateDirectoryA, GetSystemDirectoryW, LoadLibraryA, GetProcAddress, GetLastError, GetWindowsDirectoryA, DeleteFileA, RaiseException, FreeLibrary, VirtualProtect, TlsFree, TlsAlloc, TlsGetValue, GetSystemTime, InitializeCriticalSectionAndSpinCount, GetVersion, TlsSetValue, DeleteCriticalSection

> MPR.dll: WNetGetUserA, WNetGetUniversalNameA

> msvcrt.dll: strncpy, _except_handler3, strchr, _stricmp, sprintf, strrchr, mbstowcs, malloc, free, _vsnprintf, strncmp, memmove, vsprintf, strncat, _wcsdup, _errno, _open, _read, _write, _close, _lseek, remove, _tempnam, wcscat, _vsnwprintf, ctime, wcscpy, rename, wcsstr, _itoa, _local_unwind2, _memicmp, atoi, realloc, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, swprintf, wcslen, _strnicmp, memchr, _strcmpi, _snprintf, _terminate@@YAXXZ, __1type_info@@UAE@XZ, wcstoul, _snwprintf, _mbslwr, strstr, _strdup, calloc, getenv, strtoul, _wcsicmp, _ltoa, _mbsupr, wcschr, fprintf, strcspn, isdigit, wcsrchr, wcscmp, wcsncat, wcsncpy, toupper, strspn, atol, strpbrk, isspace, _ultoa, _wtoi64, _wcslwr, strtok, _itow, _what@exception@@UBEPBDXZ, __1exception@@UAE@XZ, __0exception@@QAE@ABQBD@Z, __CxxFrameHandler, __3@YAXPAX@Z, __0exception@@QAE@ABV0@@Z, _CxxThrowException, fclose, __2@YAPAXI@Z, fopen

> ntdll.dll: NtQuerySystemTime, RtlFreeUnicodeString, RtlInitUnicodeString, RtlUnicodeStringToAnsiString, NtClose, NtAdjustPrivilegesToken, NtOpenProcessToken, NtQueryInformationProcess, RtlCharToInteger, LdrAccessResource, LdrFindResource_U, NtQuerySystemInformation, NtShutdownSystem, RtlFreeHeap, RtlAllocateHeap, RtlRaiseStatus, NtYieldExecution, NtSetSystemInformation, NtCreateSection, NtOpenFile, NtOpenSection, NtOpenDirectoryObject, RtlCompareUnicodeString, NtCreateFile, RtlDosPathNameToNtPathName_U, RtlTimeToTimeFields, LdrUnloadDll, NtFreeVirtualMemory, NtQueryInformationThread, NtWaitForSingleObject, RtlCreateUserThread, NtWriteVirtualMemory, NtAllocateVirtualMemory, NtOpenProcess, LdrGetProcedureAddress, LdrLoadDll, RtlDestroyHeap, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, RtlAllocateAndInitializeSid, RtlCreateHeap, DbgPrint, RtlFreeAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString

> ole32.dll: CoInitialize, CoCreateInstance, CoUninitialize

> OLEAUT32.dll: -

> PSAPI.DLL: GetModuleFileNameExA

> RPCRT4.dll: UuidFromStringA

> SHELL32.dll: SHGetPathFromIDListA, SHGetMalloc, SHBrowseForFolderA, SHGetSpecialFolderPathA

> UPDSPAPI.dll: UpdSpFindNextMatchLineW, UpdSpFindFirstLineW, UpdSpGetMultiSzFieldW, UpdSpGetTargetPathW, UpdSpFindNextLine, UpdSpGetFieldCount, UpdSpGetLineTextA, UpdSpSetDynamicStringA, UpdSpGetStringFieldA, UpdSpGetLineByIndexA, UpdSpGetLineCountA, UpdSpInstallFilesFromInfSectionA, UpdSpSetDirectoryIdA, UpdSpCloseInfFile, UpdSpOpenInfFileA, UpdSpGetLineTextW, UpdSpScanFileQueueA, UpdSpGetBinaryField, UpdSpGetIntField, UpdSpQueueCopyA, UpdSpInstallFromInfSectionA, UpdSpGetTargetPathA, UpdSpDecompressOrCopyFileA, UpdSpDefaultQueueCallbackA, UpdSpDefaultQueueCallbackW, UpdSpCloseFileQueue, UpdSpGetSourceFileLocationA, UpdSpGetSourceInfoA, UpdSpOpenFileQueue, UpdSpCommitFileQueueA, UpdSpGetStringFieldW, UpdSpGetLineByIndexW, UpdSpGetLineCountW, UpdSpIterateCabinetA, UpdSpInitDefaultQueueCallbackEx, UpdSpPromptForDiskA, UpdSpCopyErrorA, UpdSpFindFirstLineA

> USER32.dll: CloseWindowStation, EnumDesktopsA, SetProcessWindowStation, GetProcessWindowStation, OpenWindowStationA, GetThreadDesktop, SetThreadDesktop, EnumWindows, CloseDesktop, GetClientRect, FindWindowExA, GetWindowThreadProcessId, GetWindow, RegisterClassA, CreateWindowExA, DefWindowProcA, MessageBoxW, EnumWindowStationsA, wvsprintfW, OpenDesktopA, GetSystemMetrics, LoadStringA, LoadStringW, MessageBoxA, PostQuitMessage, DestroyWindow, SendMessageA, SetDlgItemTextA, ShowWindow, EnableWindow, GetDlgItem, DispatchMessageA, TranslateMessage, GetMessageA, PostThreadMessageA, SetWindowTextW, RedrawWindow, SetWindowLongA, GetWindowLongA, GetWindowTextA, PostMessageA, EnumChildWindows, SetDlgItemTextW, LoadBitmapA, IsDlgButtonChecked, SetTimer, CheckDlgButton, KillTimer, ReleaseDC, GetDC, SystemParametersInfoA, SetForegroundWindow, SetWindowTextA, EndDialog, DialogBoxParamA, GetDesktopWindow, SetFocus

> USERENV.dll: -, -, -

> VERSION.dll: VerQueryValueA, VerQueryValueW, GetFileVersionInfoA, GetFileVersionInfoSizeA, GetFileVersionInfoW, GetFileVersionInfoSizeW

> WINSPOOL.DRV: GetPrinterDriverDirectoryA
 

( 0 exports )

Und nochmal ein grosses Danke an dich!!!

Gut,
ComboFix deinstallieren:

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Danach noch mit MBAM scannen:

MalwareBytes Anti-Malware:

Lade dir MalwareBytes Anti-Malware
Folge den Anweisungen der Anleitung
Lösche alles in der Quarantäne:

http://saved.im/ndc5njj4d2lr/entfernen.png

poste das entstandene Logfile

Wenn der Scan auch negativ verläuft, würde ich sagen, du bist clean.
Was dein eigentliches Problem anbelangt, dürfte nicht von Malware verursacht worden sein (Hatte das Problem auch mal, aber hatte diverse dummheitbasierende Ursachen :D ).

Besteht bei dir das Problem noch?

Nein eigentlich nicht, aber bin jetzt im Moment immer nur im Internet wenn ich was runterlade und was poste. Denn Rest lese ich via Laptop.

Seltsam, hast du davor irgendetwas ausgeführt oder sonstiges gemacht?

Wie gesagt ich habe eine Meldung bekommen dass ein Kontakt (MSN) einen Ordner fuer mich freigegeben hat. Und ich hab die Meldung mit nein beantwortet kann es sein dass mich der gehacked hat :snyper: ?

Nein, das ist definitiv nicht möglich.
Das einzigste, was malwaretechnisch übe MSN läuft sind diverse IRC-Bots, du hast aber keinen (zum Glück).

Seltsam, sonst hab ich noch Musik gehoert und auf dem gulli board gesurft.

Mein unerwünschter Win2000 Skin wurde von Virut ausgelöst, was es bei dir sein kann, kann ich dir pauschal nicht sagen.

SWH (Systemwiederherstellung) ausprobiert?

Nein, hab ich aber auch gar nicht nach dem logfile von Combofix, also die SWH

Durch was hast du das Virut erkannt? Und was kann das Ding anrichten?

Virut ist ein Virus, den ich durch einen dämlichen Zufall aus versehen auf meinem Arbeitsrechner aktiviert hab.

Aber das ist ja bei dir nicht der Fall, von dem her...

Ok

Malwarebytes hat auch nichts gefunden! Hier is das Logfile:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1414

Windows 5.1.2600 Service Pack 3
 

21.11.2008 22:44:48

mbam-log-2008-11-21 (22-44-48).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 82925

Laufzeit: 18 minute(s), 11 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Gut, dann bist du clean.

Was ich noch probieren würde, wäre CHKDSK.

CHDSK hab ich auch gemacht, also hat keine Fehler gezeigt!

Danke dir noch mal!

Ich werd das ganze mal beobachten und keine Bestellungen oder so ueber den PC machen und wenns wieder kommt, hilft wahrscheinlich eh nur neu aufsetzen

Zitat:

Ich werd das ganze mal beobachten und keine Bestellungen oder so ueber den PC machen und wenns wieder kommt, hilft wahrscheinlich eh nur neu aufsetzen

Heißt das, das dein Skin wieder normal ist?

JA wie gesagt ich hab den PC neugestartet un der Skin ist wieder im Windows Xp Style

Na dann melde dich wieder, falls dir was ungewöhnlich vorkommt, oder wenn das Problem wieder auftritt. ;)

Ok, hoffentlich passt wieder alles!!

Danke noch mal! :dankeschoen:

So dann gute Nacht und schönes WE

Kein Problem,

wünsch ich Dir auch. :party: