Trojaner-Board - USB-Stick infiziert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - USB-Stick infiziert? (https://www.trojaner-board.de/70292-usb-stick-infiziert.html)

Achsoo ist das ... und ich frag mich immer, wie man so nen Plan haben kann ...ich hab auch nicht wenig Plan, aber so viel auch wider nicht....

Also ... ich hab mal das Programm verändert uuuuh :D
Wenn dieser Fehler aufgeht:

Zitat:

Script: C:\Programme\regsrch\RegSrch.vbs
Line: 76
Char:1
Error: The system cannot find the file specified.
Code: 80070002
Source: (null)

Dann heißt das, dass man kein WordPad hat, sondern Notepad ..... und dann Macht man das Programm einfach erstmal mit Notepad auf und ändert in Zeile 76 ab, in welchem Programm man es geöffnet haben möchte.
Also "WordPad " durch "Notepad " ersetzen (Leerzeichen danach nicht vergessen!)
Falls es irgendjemandem nutzen sollte ....

#Mein Code:

Zitat:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "kva8wr.exe" 23.02.2009 17:53:45

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kvasoft]
"command"="C:\\WINDOWS\\system32\\kva8wr.exe"

Hm, soll ich den kvasoft-ordner einfach löschen? Ich mein, damit wärs dann ganz weg. Is ja jetzt nur noch so, dass die Adresse von dem Ding da ist, aber das Ding selber schon weg, oder?

Nicht gut :(

Dieser Eintrag ist der hier-->Thread Expert

Start--Ausführen-->notepad(reinschreiben)
Kopiere nun die Zeilen aus der CodeBox und speichere es auf deinem Desktop unter CFScript.txt
***
Danach alle Browser schliessen
Alle offenen Programme schliessen
Ziehe nun das CFScript in das ICON von ComboFix
ComboFix startet Automatisch
Bitte keine Aktionen am Rechner auch nicht mit der Maus
CF erstellt ein LOG was du unter C:\combofix.txt findest

An alle Mitleser: Dieses Script wurde ausschlieslich für diesen Rechner erstellt und sollte auf keinen Fall auf andere Rechner verwendet werden

Dies als Antwort hier posten

Achtung dieser Schritt kann zu einigen Problemen führen mit dem Rechner
Es erfolgt auschliesslich auf eigene Verantwortung!!!!!!!

Solltest du es nicht machen wollen teile mir das bitte mit ;)

Zitat:

ComboFix 09-02-21.01 - Skull 2009-02-23 18:37:56.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2047.1614 [GMT 1:00]
ausgeführt von:: f:\viren & widerherstellung\ComboFix.exe
Benutzte Befehlsschalter :: c:\documents and settings\Skull\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-23 bis 2009-02-23 ))))))))))))))))))))))))))))))
.

2009-02-22 21:24 . 2009-02-22 22:16 <DIR> d-------- c:\documents and settings\All Users\Application Data\SITEguard
2009-02-22 21:23 . 2009-02-22 21:23 <DIR> d-------- c:\program files\Common Files\iS3
2009-02-22 21:23 . 2009-02-22 22:18 <DIR> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
2009-02-22 20:02 . 2009-02-22 20:03 3,535,293 --a------ c:\windows\system32\VHCDYYMYF
2009-02-22 19:08 . 2009-02-22 19:08 <DIR> d-------- c:\program files\CCleaner
2009-02-22 16:55 . 2009-02-22 16:55 175,277 -r-hs---- C:\squdq.com
2009-02-16 11:48 . 2009-02-16 11:49 <DIR> d-------- c:\program files\SkyTestFQ
2009-02-16 11:48 . 2008-02-06 19:31 1,019,904 --a------ c:\windows\system32\EvoVoIP.ocx
2009-02-16 11:48 . 1998-07-06 00:00 158,208 --a------ c:\windows\system32\MSCMCDE.DLL
2009-02-16 11:48 . 2000-10-02 00:00 125,712 --a------ c:\windows\system32\VB6DE.DLL
2009-02-16 11:48 . 1998-06-24 01:00 108,336 --a------ c:\windows\system32\MSWINSCK.OCX
2009-02-16 11:48 . 1999-01-25 20:30 26,624 --a------ c:\windows\system32\JKJoystick2.ocx
2009-02-16 11:48 . 1999-01-25 21:31 1,025 --a------ c:\windows\system32\JKJoystick2.DEP
2009-02-14 02:06 . 2009-02-14 02:06 <DIR> d-------- c:\documents and settings\Skull\Application Data\Malwarebytes
2009-02-14 02:02 . 2009-02-14 02:02 <DIR> d-------- c:\program files\Trend Micro
2009-01-25 21:58 . 2009-01-25 21:58 <DIR> d-------- c:\documents and settings\Skull\Application Data\Media Player Classic
2009-01-25 21:56 . 2009-01-25 21:56 <DIR> d-------- c:\program files\Combined Community Codec Pack
2009-01-23 23:01 . 2009-01-23 23:01 <DIR> d-------- c:\documents and settings\Skull\Application Data\FaxCtr
2009-01-23 19:45 . 2005-07-12 10:33 32,768 --a------ c:\windows\system32\LXPRMON.DLL
2009-01-23 19:45 . 2005-07-12 10:33 20,480 --a------ c:\windows\system32\LXPMONUI.DLL
2009-01-23 19:45 . 2005-07-12 10:36 12,288 --a------ c:\windows\system32\LXPMONRC.DLL
2009-01-23 19:44 . 2009-01-23 19:45 <DIR> d-------- c:\program files\Lexmark Fax Solutions
2009-01-23 19:38 . 2009-01-23 19:39 1,516,951 --a------ C:\lxceUNST.csv
2009-01-23 16:12 . 2009-01-23 16:12 <DIR> d-------- C:\Lexmark
2009-01-23 15:58 . 2007-02-22 18:32 344,064 --a------ c:\windows\system32\lxcecoin.dll
2009-01-23 15:57 . 2009-01-23 15:57 <DIR> d-------- C:\drivers
2009-01-23 15:57 . 2007-03-05 05:00 421,888 --a------ c:\windows\system32\lxcedrs.dll
2009-01-23 15:57 . 2007-01-30 10:22 413,696 --a------ c:\windows\system32\lxceinpa.dll
2009-01-23 15:57 . 2007-01-30 10:35 397,312 --a------ c:\windows\system32\lxceiesc.dll
2009-01-23 15:57 . 2006-10-03 23:21 330,030 --a------ c:\windows\system32\lxcehelp.chm
2009-01-23 15:57 . 2007-01-30 10:18 323,584 --a------ c:\windows\system32\lxcehcp.dll
2009-01-23 15:57 . 2007-01-30 10:35 274,432 --a------ c:\windows\system32\lxceinst.dll
2009-01-23 15:57 . 2005-02-24 17:23 61,440 --a------ c:\windows\system32\lxcecnv4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 13:42 --------- d-----w c:\documents and settings\Skull\Application Data\Orbit
2009-02-22 21:43 --------- d-----w c:\documents and settings\Skull\Application Data\uTorrent
2009-02-22 21:17 --------- d-----w c:\program files\Orbitdownloader
2009-02-16 14:11 --------- d-----w c:\program files\Lx_cats
2009-02-14 01:08 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-06 14:50 --------- d-----w c:\program files\Abbyy FineReader 6.0 Sprint
2009-01-23 22:00 --------- d-----w c:\program files\Lexmark 4300 Series
2009-01-19 21:46 --------- d-----w c:\documents and settings\Skull\Application Data\GrabPro
2009-01-17 15:23 --------- d-----w c:\program files\DVDVideoSoft
2009-01-17 15:23 --------- d-----w c:\program files\Common Files\DVDVideoSoft
2009-01-08 18:43 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-08 18:43 --------- d-----w c:\program files\Realtek
2009-01-08 18:43 --------- d-----w c:\documents and settings\Skull\Application Data\InstallShield
2009-01-05 01:56 --------- d-----w c:\documents and settings\Skull\Application Data\Apple Computer
2009-01-04 16:20 --------- d-----w c:\program files\Miranda IM
2009-01-04 13:32 --------- d-----w c:\program files\gs
2009-01-04 13:32 --------- d-----w c:\program files\FreePDF_XP
2009-01-03 22:22 --------- d-----w c:\program files\QuickTime
2009-01-03 22:22 --------- d-----w c:\program files\Common Files\Apple
2009-01-03 22:22 --------- d-----w c:\program files\Apple Software Update
2009-01-03 22:22 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-03 22:21 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-03 02:47 --------- d-----w c:\documents and settings\Guest\Application Data\vlc
2009-01-01 21:53 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-01-01 21:53 --------- d-----w c:\program files\Java
2009-01-01 21:48 --------- d-----w c:\program files\Sun
2009-01-01 19:57 --------- d-----w c:\program files\Paint.NET
2009-01-01 19:12 --------- d-----w c:\program files\Reference Assemblies
2009-01-01 19:12 --------- d-----w c:\program files\MSBuild
2009-01-01 02:00 --------- d-----w c:\program files\MSXML 4.0
2008-12-31 20:37 --------- d-----w c:\program files\Windows Live
2008-12-31 20:31 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-31 20:07 --------- d-----w c:\program files\Common Files\Windows Live
2008-12-31 19:34 --------- d-----w c:\program files\microsoft frontpage
2008-12-31 19:26 --------- d-----w c:\documents and settings\Skull\Application Data\Microsoft Web Folders
2008-12-31 19:24 --------- d-----w c:\program files\Autorun Eater
2008-12-31 19:15 --------- d-----w c:\documents and settings\Skull\Application Data\vlc
2008-12-31 19:04 --------- d-----w c:\program files\Symantec
2008-12-31 19:00 --------- d-----w c:\program files\Common Files\Adobe
2008-12-31 18:42 --------- d-----w c:\program files\Smart PC Solutions
2008-12-31 18:24 --------- d-----w c:\program files\uTorrent
2008-12-31 18:21 --------- d-----w c:\program files\Common Files\Symantec Shared
2008-12-31 18:15 --------- d-----w c:\program files\Brownie
2008-12-31 18:15 --------- d-----w c:\program files\Brother
2008-12-31 18:14 --------- d-----w c:\program files\Common Files\InstallShield
2008-12-31 02:26 --------- d-----w c:\program files\LECTURNITY Player
2008-12-31 02:17 --------- d-----w c:\program files\lg_fwupdate
2008-12-31 02:13 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink
2008-12-31 02:12 --------- d-----w c:\program files\CyberLink
2008-12-31 01:58 --------- d-----w c:\program files\Common Files\Ahead
2008-12-31 01:58 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
2008-12-31 01:56 --------- d-----w c:\program files\Nero
2008-12-31 01:56 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2008-12-31 01:50 --------- d-----w c:\documents and settings\All Users\Application Data\FaxCtr
2008-12-31 01:46 --------- d-----w c:\program files\Microsoft CAPICOM 2.1.0.2
2008-12-31 01:23 --------- d-----w c:\program files\ClearProg
2008-12-31 01:05 --------- dcsh--w c:\program files\Common Files\WindowsLiveInstaller
2008-12-31 00:56 --------- d-----w c:\program files\FLV Player
2008-12-31 00:54 --------- d-----w c:\program files\VideoLAN
2008-12-31 00:43 --------- d-----w c:\program files\Common Files\AVSMedia
2008-12-31 00:39 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU
2008-12-31 00:32 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-30 23:56 --------- d-----w c:\program files\InterVideo
2008-12-30 23:56 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2008-12-30 23:33 --------- d-----w c:\program files\AMD
2008-12-30 23:32 --------- d-----w c:\program files\ASUS
2008-12-30 23:24 --------- d-----w c:\program files\Avira
2008-12-30 23:24 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2008-12-30 23:21 --------- d-----w c:\program files\ATI Technologies
2008-12-30 23:18 --------- d-----w c:\program files\Common Files\ATI Technologies
2008-12-30 22:58 315,392 ----a-w c:\windows\HideWin.exe
2008-12-20 23:15 826,368 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-02-23_12.28.57,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-23 11:18:08 71,138 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-23 15:22:29 71,138 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-23 11:18:08 440,820 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-23 15:22:29 440,820 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

Hi, also ja ... wieso sit das denn schlecht? Ich hab nru soviel verstanden, dass die registry geändert wird zum schluss und dass sich weitere Programme runterladen???
Aber die Sachen haben wir doch alle weggemacht, bis auf diesen einen eintrag, den ich jetzt in das Programm gezogen habe? Also für mcih siehts eignetlich ganz gut aus bis jetzt. Wieso meinst du, es ist schlecht?

Gab es irgendwelche Aufälligkeiten???
Wenn nicht-->:Boogie:

Code:

2009-02-22 21:43 --------- d-----w c:\documents and settings\Skull\Application Data\uTorrent

P2P:
Ich gebe dir einen Rat den du dir auch zu herzen nehmen solltest

Torrent ist ein P2P wo du eventuell zu illegalen Handlungen verleitet wirst
Über solche Plattformen verbreitet sich Malware rasend und ich bitte dich dieses Programm zu deinstallieren und auch in Zukunft die Finger davon zu lassen.Auch wenn du es seit längeren ohne Probleme verwendet hast.
Malware wird leider nicht weniger und es sind sehr viele Rechner verseucht
Bitte Deinstallier Torrent

Lade dir bitte GMER von chip.de herunter.
Rechner vom netz nehmen
Alle offenen Programme schliessen
USB-Stick anschliessen
Starte nun GMER mit doppelklick

Log hier posten
Sollte es zu lang sein bitte in Teilen posten

Nur mal ne Anmerkung: Ich konnte meine 4 Partitionen anklicken, aber den USB-Stick nicht. Weiß nicht, ob es jetzt wichtig ist?

Zitat:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-02-23 23:11:58
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT BA7C3E0C ZwCreateThread
SSDT BA7C3DF8 ZwOpenProcess
SSDT BA7C3DFD ZwOpenThread
SSDT BA7C3E07 ZwTerminateProcess
SSDT BA7C3E02 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Nero AG)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D@DisplayName ??
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D@DeviceDesc ??
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D@ProviderName ???????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D@MFG ?????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D@ReinstallString .10.1000.8
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D@DeviceInstanceIds g:\drivers\chipset\xp\smbus\smbusati.inf

---- EOF - GMER 1.0.14 ----

Ja ok, es ist doch nicht alles weg!
Neue Avira-Meldung ... nachdem ich ne Stunde oder mehr an meinem PC inaktiv war:

Code:

In der Datei 'C:\System Volume Information\_restore{8CA6A1C6-F45F-419A-8ECF-FA0B93DBEA6A}\RP96\A0030315.EXE'

wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.

Ausgeführte Aktion: Datei löschen

Soll ich nochmal GMER durchlaufen lsassen, oder ein anderes Programm? Ich hatte mich echt schon gefreut, dass es fast weg war ^^

Deaktivieren der Systemwiederherstellung

Windows XP:

Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
Wähle den Reiter "Systemwiederherstellung"
Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
Jetzt den PC booten, der Start kann eine Weile dauern
Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

ok... hab ich jetzt gemacht ... aber was habe ich eigentlich damit gemacht? (das booten hat nicht so lange gedauert .. normal eher). Is der Virus jetzt weg, oder noch da?

Avira hat den "Virus" in der Wiederherstellungskonsole gefunden, daher.
Jetzt kann aber der Gentlman weitermachen :D

Hi, hab mir "Autorun Settings" von Uwe Sieber geholt und die Autorun.inf abgestellt bei USB. Also den Hacken weggemacht.

Dann habe ich "Hide protected operating system files" in meinen Anzeigeordner weggeklickt und mein USB aufgemacht. die Datei: "squdq.com" war drauf 170 kb ... oder so in der Art. Dann wurde eine Autorun.inf erstellt ...hier der code aus Notepad:

Zitat:

[AutoRun]
;kdSawLD32I
open=squdq.com
;Kiw70Ak
shell\open\Command=squdq.com

tja ... jetzt kann ich die Dateien nicht mehr sehen ... und ich hab das Problem wohl wieder ... keine Ahnung....
Jedenfalls wieder den USB formatiert. Und jetzt zeigts mir nicht mehr diese komische Avira-Meldung: flifs. ... irgendwas gefunden.

Ja sorry, auch grad ComboFix nochmal laufen lassen und vergessen die Log zu speichern. Sah aber so wie die erste aus!

Zitat:

C:\autorun.inf
c:\windows\system32\kva8wr.exe
c:\windows\system32\uweyiwe0.dll
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
J:\autorun.inf

und die Registryeinträge wurden wieder abgeändert.

Naja :schmoll:

Poste mir bitte einen Totalscan von avira
Schliesse den USB stick an

PS: ComboFix deaktiviert den Autostart externer Speichermedien

EDIT

Zitat:

:daumenhoc -->man lernt nie aus ;)

Zitat:

ComboFix 09-02-21.01 - Skull 2009-02-24 18:38:59.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2047.1565 [GMT 1:00]
ausgeführt von:: f:\viren & widerherstellung\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\bgotrtu0.dll
c:\windows\system32\kva8wr.exe
c:\windows\system32\uweyiwe0.dll
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
J:\autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-24 bis 2009-02-24 ))))))))))))))))))))))))))))))
.

2009-02-23 23:04 . 2009-02-24 18:23 250 --a------ c:\windows\gmer.ini
2009-02-22 21:24 . 2009-02-22 22:16 <DIR> d-------- c:\documents and settings\All Users\Application Data\SITEguard
2009-02-22 21:23 . 2009-02-22 21:23 <DIR> d-------- c:\program files\Common Files\iS3
2009-02-22 21:23 . 2009-02-22 22:18 <DIR> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
2009-02-22 20:02 . 2009-02-22 20:03 3,535,293 --a------ c:\windows\system32\VHCDYYMYF
2009-02-22 19:08 . 2009-02-22 19:08 <DIR> d-------- c:\program files\CCleaner
2009-02-22 16:55 . 2009-02-22 16:55 175,277 -r-hs---- C:\squdq.com
2009-02-16 11:48 . 2009-02-16 11:49 <DIR> d-------- c:\program files\SkyTestFQ
2009-02-16 11:48 . 2008-02-06 19:31 1,019,904 --a------ c:\windows\system32\EvoVoIP.ocx
2009-02-16 11:48 . 1998-07-06 00:00 158,208 --a------ c:\windows\system32\MSCMCDE.DLL
2009-02-16 11:48 . 2000-10-02 00:00 125,712 --a------ c:\windows\system32\VB6DE.DLL
2009-02-16 11:48 . 1998-06-24 01:00 108,336 --a------ c:\windows\system32\MSWINSCK.OCX
2009-02-16 11:48 . 1999-01-25 20:30 26,624 --a------ c:\windows\system32\JKJoystick2.ocx
2009-02-16 11:48 . 1999-01-25 21:31 1,025 --a------ c:\windows\system32\JKJoystick2.DEP
2009-02-14 02:06 . 2009-02-14 02:06 <DIR> d-------- c:\documents and settings\Skull\Application Data\Malwarebytes
2009-02-14 02:02 . 2009-02-14 02:02 <DIR> d-------- c:\program files\Trend Micro
2009-01-25 21:58 . 2009-01-25 21:58 <DIR> d-------- c:\documents and settings\Skull\Application Data\Media Player Classic
2009-01-25 21:56 . 2009-01-25 21:56 <DIR> d-------- c:\program files\Combined Community Codec Pack

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-24 16:23 --------- d-----w c:\documents and settings\Skull\Application Data\Orbit
2009-02-23 18:38 --------- d-----w c:\program files\FreePDF_XP
2009-02-23 17:52 --------- d-----w c:\program files\Orbitdownloader
2009-02-16 14:11 --------- d-----w c:\program files\Lx_cats
2009-02-14 01:08 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-06 14:50 --------- d-----w c:\program files\Abbyy FineReader 6.0 Sprint
2009-01-23 22:01 --------- d-----w c:\documents and settings\Skull\Application Data\FaxCtr
2009-01-23 22:00 --------- d-----w c:\program files\Lexmark 4300 Series
2009-01-23 18:45 --------- d-----w c:\program files\Lexmark Fax Solutions
2009-01-19 21:46 --------- d-----w c:\documents and settings\Skull\Application Data\GrabPro
2009-01-17 15:23 --------- d-----w c:\program files\DVDVideoSoft
2009-01-17 15:23 --------- d-----w c:\program files\Common Files\DVDVideoSoft
2009-01-08 18:43 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-08 18:43 --------- d-----w c:\program files\Realtek
2009-01-08 18:43 --------- d-----w c:\documents and settings\Skull\Application Data\InstallShield
2009-01-05 01:56 --------- d-----w c:\documents and settings\Skull\Application Data\Apple Computer
2009-01-04 16:20 --------- d-----w c:\program files\Miranda IM
2009-01-04 13:32 --------- d-----w c:\program files\gs
2009-01-03 22:22 --------- d-----w c:\program files\QuickTime
2009-01-03 22:22 --------- d-----w c:\program files\Common Files\Apple
2009-01-03 22:22 --------- d-----w c:\program files\Apple Software Update
2009-01-03 22:22 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-03 22:21 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-03 02:47 --------- d-----w c:\documents and settings\Guest\Application Data\vlc
2009-01-01 21:53 --------- d-----w c:\program files\Java
2009-01-01 21:48 --------- d-----w c:\program files\Sun
2009-01-01 19:57 --------- d-----w c:\program files\Paint.NET
2009-01-01 19:12 --------- d-----w c:\program files\Reference Assemblies
2009-01-01 19:12 --------- d-----w c:\program files\MSBuild
2009-01-01 02:00 --------- d-----w c:\program files\MSXML 4.0
2008-12-31 20:37 --------- d-----w c:\program files\Windows Live
2008-12-31 20:31 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-31 20:07 --------- d-----w c:\program files\Common Files\Windows Live
2008-12-31 19:34 --------- d-----w c:\program files\microsoft frontpage
2008-12-31 19:26 --------- d-----w c:\documents and settings\Skull\Application Data\Microsoft Web Folders
2008-12-31 19:24 --------- d-----w c:\program files\Autorun Eater
2008-12-31 19:15 --------- d-----w c:\documents and settings\Skull\Application Data\vlc
2008-12-31 19:04 --------- d-----w c:\program files\Symantec
2008-12-31 19:00 --------- d-----w c:\program files\Common Files\Adobe
2008-12-31 18:42 --------- d-----w c:\program files\Smart PC Solutions
2008-12-31 18:24 --------- d-----w c:\program files\uTorrent
2008-12-31 18:21 --------- d-----w c:\program files\Common Files\Symantec Shared
2008-12-31 18:15 --------- d-----w c:\program files\Brownie
2008-12-31 18:15 --------- d-----w c:\program files\Brother
2008-12-31 18:14 --------- d-----w c:\program files\Common Files\InstallShield
2008-12-31 02:26 --------- d-----w c:\program files\LECTURNITY Player
2008-12-31 02:17 --------- d-----w c:\program files\lg_fwupdate
2008-12-31 02:13 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink
2008-12-31 02:12 --------- d-----w c:\program files\CyberLink
2008-12-31 01:58 --------- d-----w c:\program files\Common Files\Ahead
2008-12-31 01:58 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
2008-12-31 01:56 --------- d-----w c:\program files\Nero
2008-12-31 01:56 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2008-12-31 01:50 --------- d-----w c:\documents and settings\All Users\Application Data\FaxCtr
2008-12-31 01:46 --------- d-----w c:\program files\Microsoft CAPICOM 2.1.0.2
2008-12-31 01:23 --------- d-----w c:\program files\ClearProg
2008-12-31 01:05 --------- dcsh--w c:\program files\Common Files\WindowsLiveInstaller
2008-12-31 00:56 --------- d-----w c:\program files\FLV Player
2008-12-31 00:54 --------- d-----w c:\program files\VideoLAN
2008-12-31 00:43 --------- d-----w c:\program files\Common Files\AVSMedia
2008-12-31 00:39 --------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU
2008-12-31 00:32 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-30 23:56 --------- d-----w c:\program files\InterVideo
2008-12-30 23:56 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2008-12-30 23:33 --------- d-----w c:\program files\AMD
2008-12-30 23:32 --------- d-----w c:\program files\ASUS
2008-12-30 23:24 --------- d-----w c:\program files\Avira
2008-12-30 23:24 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2008-12-30 23:21 --------- d-----w c:\program files\ATI Technologies
2008-12-30 23:18 --------- d-----w c:\program files\Common Files\ATI Technologies
2008-12-30 22:58 315,392 ----a-w c:\windows\HideWin.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-02-23_12.28.57,53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-23 22:04:44 819,200 ----a-w c:\windows\gmer.dll
+ 2008-01-18 19:31:10 757,760 ----a-w c:\windows\gmer.exe
+ 2009-02-23 22:04:44 85,713 ----a-w c:\windows\system32\drivers\gmer.sys
- 2009-02-23 11:18:08 71,138 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-24 14:44:05 71,138 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-23 11:18:08 440,820 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-24 14:44:05 440,820 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-24 17:41:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_d8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"kvasoft"="c:\windows\system32\kva8wr.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-01 136600]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
"EzPrint"="c:\program files\Lexmark 4300 Series\ezprint.exe" [2005-07-26 94208]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2007-06-26 312320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.lsgc"= lsgc.dll
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\8169Diag]
--a------ 2008-01-24 15:12 139264 c:\program files\Realtek\Diagnostics Utility\8169Diag.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Autorun Eater]
--a------ 2008-11-27 02:19 501768 c:\program files\Autorun Eater\oldmcdonald.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
--a------ 2005-07-26 13:17 94208 c:\program files\Lexmark 4300 Series\ezprint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
--a------ 2005-07-12 10:36 299008 c:\program files\Lexmark Fax Solutions\fm3032.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 20:27 312320 c:\program files\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2008-04-13 20:13 208952 c:\windows\ime\IMJP8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-11-26 14:54 1057064 c:\program files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2007-01-08 22:17 52256 c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LGODDFU]
--a------ 2008-12-31 03:14 548864 c:\program files\lg_fwupdate\fwupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcemon.exe]
--a------ 2005-08-02 18:45 192512 c:\program files\Lexmark 4300 Series\lxcemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-03-14 21:01 71216 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-11-26 14:54 1629480 c:\program files\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2008-01-29 08:47 16859648 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"RQHBQTV"=3 (0x3)
"RO"=3 (0x3)
"RichVideo"=2 (0x2)
"HBWIU"=3 (0x3)
"GRGZXZ"=3 (0x3)
"EKJMVGEPP"=3 (0x3)
"NBService"=3 (0x3)
"InCDsrv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Documents and Settings\\Skull\\Desktop\\New Folder\\Miranda\\miranda32.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"d:\\Studium\\Programmieren\\Java\\eclipse\\eclipse.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AMDRAIDXpert;AMD RAIDXpert;c:\program files\AMD\RAIDXpert\jetty\extra\win32\Wrapper.exe [2003-09-29 110592]
R2 LANPkt;Realtek LANPkt Protocol Driver;c:\windows\system32\drivers\LANPkt.sys [2008-12-31 8960]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2007-07-20 84992]
S3 Diag69xp;Diag69xp;c:\windows\system32\drivers\diag69xp.sys [2008-12-31 11264]
S3 RTLVLAN;Realtek VLAN Intermediate Driver;c:\windows\system32\drivers\RTLVLAN.SYS [2008-12-31 16640]
S4 EKJMVGEPP;EKJMVGEPP;c:\docume~1\Skull\LOCALS~1\Temp\EKJMVGEPP.exe --> c:\docume~1\Skull\LOCALS~1\Temp\EKJMVGEPP.exe [?]
S4 GRGZXZ;GRGZXZ;c:\docume~1\Skull\LOCALS~1\Temp\GRGZXZ.exe --> c:\docume~1\Skull\LOCALS~1\Temp\GRGZXZ.exe [?]
S4 HBWIU;HBWIU;c:\docume~1\Skull\LOCALS~1\Temp\HBWIU.exe --> c:\docume~1\Skull\LOCALS~1\Temp\HBWIU.exe [?]
S4 RO;RO;c:\docume~1\Skull\LOCALS~1\Temp\RO.exe --> c:\docume~1\Skull\LOCALS~1\Temp\RO.exe [?]
S4 RQHBQTV;RQHBQTV;c:\docume~1\Skull\LOCALS~1\Temp\RQHBQTV.exe --> c:\docume~1\Skull\LOCALS~1\Temp\RQHBQTV.exe [?]
.
Inhalt des "geplante Tasks" Ordners

2009-01-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
FF - ProfilePath - c:\documents and settings\Skull\Application Data\Mozilla\Firefox\Profiles\z0sdjxgb.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-24 18:43:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(756)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\BRSS01A.EXE
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AMD\RAIDXpert\_jvm\bin\java.exe
c:\windows\system32\lxcecoms.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-24 18:44:09 - PC wurde neu gestartet [Skull]
ComboFix-quarantined-files.txt 2009-02-24 17:44:07
ComboFix2.txt 2009-02-24 17:27:38
ComboFix3.txt 2009-02-23 17:39:23
ComboFix4.txt 2009-02-23 11:29:24

Vor Suchlauf: 2.292.899.840 bytes free
Nach Suchlauf: 2,281,000,960 bytes free

280 --- E O F --- 2009-02-11 15:47:40

Avira lass ich jetzt mal laufen .... ich schicke es aber erst abends 11 oder so, weil ich jetzt weg muss. Sorry ... grad verpasst ^^

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Februar 2009 22:32

Es wird nach 1262573 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Skull
Computername: SG-E91E48330783

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 30.12.2008 23:27:04
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 23:27:04
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 14:38:33
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 22:20:18
ANTIVIR3.VDF : 7.1.2.68 65536 Bytes 23.02.2009 22:20:37
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 23:52:57
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 23.02.2009 22:20:39
AESCN.DLL : 8.1.1.7 127347 Bytes 13.02.2009 14:38:41
AERDL.DLL : 8.1.1.3 438645 Bytes 30.12.2008 23:27:05
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 20:49:45
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 30.12.2008 23:27:05
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 20.02.2009 22:20:22
AEHELP.DLL : 8.1.2.0 119159 Bytes 30.12.2008 23:27:05
AEGEN.DLL : 8.1.1.21 336244 Bytes 23.02.2009 22:20:38
AEEMU.DLL : 8.1.0.9 393588 Bytes 30.12.2008 23:27:05
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 22:20:18
AEBB.DLL : 8.1.0.3 53618 Bytes 30.12.2008 23:27:05
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 30.12.2008 23:27:05
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: A:, C:, D:, E:, F:, G:, H:, I:, J:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 24. Februar 2009 22:32

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '29591' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcecoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezprint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Wrapper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '55' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: The device is not ready.
Beginne mit der Suche in 'C:\' <Windows &Programme>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Qoobox\Quarantine\C\WINDOWS\system32\bgotrtu0.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Privates>
Beginne mit der Suche in 'E:\' <Videos & Musik & Bilder>
Beginne mit der Suche in 'F:\' <Backups>
F:\Viren & Widerherstellung\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: The device is not ready.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: The device is not ready.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: The device is not ready.
Beginne mit der Suche in 'J:\'

Ende des Suchlaufs: Dienstag, 24. Februar 2009 23:25
Benötigte Zeit: 53:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10653 Verzeichnisse wurden überprüft
661939 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
661936 Dateien ohne Befall
4345 Archive wurden durchsucht
1 Warnungen
2 Hinweise
29591 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Da stand, Combofix.exe war auch ein Virus oder so ...???? Habs automatisch gelöscht ...
Wär schon scheisse, wenns jetzt WIRKLICH befallen ist!

Hallo

Ich werde mir nun Unterstützung von einem Erfahreneren User suchen der ein CFScript erstellen wird

Der Vundo will sich nicht "einfach so" löschen lassen-->Taucht dauernt auf

Ich bitte dich das du uns etwas Zeit lässt weil wir gerade sehr ausgelastet sind

Danke

Danke???

Ich denke, ich muss mich bedanken :D
Danke!!!
Gibts ne Abschätzung, ob ich ne Woche warten muss, oder ein paar Wochen?

Ich hab mein PC jetzt auch ncoh mit VundoFix.exe gescannt und keine Funde. Aber etwas irritiert mich:
Im regedit hab ich nach "bgotrtu0.dll" gesucht und auch was gefunden (ich glaube was mit bgotrtu0.dll, kva8wr.exe, uweyiwe0.dll) ... also ich dann "ohne es zu löschen" nochmal danach gesucht habe, wars nicht mehr aufzufinden....