Trojaner-Board - Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A (https://www.trojaner-board.de/79257-kaspersky-findet-hidden-object-c-windows-45203195861be07a.html)

ccleaner erfolgreich laufen lassen,
combofix ging leider nicht- notepad-meldung nach dem ausführen der cofi.exe:

Code:

ComboFix is Offline. 

Please visit http://download.bleepingcomputer.com/sUBs/ComboFix.html

Fixen mit OTL

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

:OTL

@Alternate Data Stream - 24 bytes -> C:\WINDOWS:45203195861BE07A

[purity]

[emptytemp]

[start explorer]

[Reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Run Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Code:



All processes killed

========== OTL ==========

Unable to delete ADS C:\WINDOWS:45203195861BE07A .

File rity] not found.

File ptytemp] not found.

File art explorer] not found.

File boot] not found.

 

OTL by OldTimer - Version 3.1.17.0 log created on 12152009_234614
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

kann es damit zu tun haben, dass bei 2 meiner festplatten (beim reboot) windows grundsätzlich nicht hochfährt, bevor ich sie ausgeschaltet habe, und reset gedrückt habe?

Ich tippe jetzt erstmal darauf, dass der ADS zu einer Software gehört. Ich werde mich mal umhören ob jemand was dazu sagen kann.

Fixen mit OTL

Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

:Files

@C:\WINDOWS:45203195861BE07A

:Commands

[emptytemp]

[start explorer]

[Reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Run Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Code:



All processes killed

========== FILES ==========

Unable to delete ADS C:\WINDOWS:45203195861BE07A .

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: xxx Admin

->Temp folder emptied: 927406064 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 13689353 bytes

->FireFox cache emptied: 57061795 bytes

->Google Chrome cache emptied: 0 bytes

 

User: xxx Online

->Temp folder emptied: 212640 bytes

->Temporary Internet Files folder emptied: 37526 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 111755266 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 746 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 573013 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1138654 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 3955784 bytes

 

Total Files Cleaned = 1064,24 mb

 

 

OTL by OldTimer - Version 3.1.17.0 log created on 12162009_190312
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

ganz schön hartnäckig, das ding.. :schmoll:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Lade dir ComboFix hier herunter auf deinen Desktop.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte kittyfix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates nicht durch , installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Code:



ComboFix 09-12-16.01 - xxx Online 17.12.2009   0:45.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.335 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe

AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\90d_enu.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-16 bis 2009-12-16  ))))))))))))))))))))))))))))))

.
 

2009-12-15 22:17 . 2009-12-15 22:17        --------        d-----w-        C:\_OTL

2009-12-14 03:53 . 2009-12-14 03:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip

2009-12-14 01:23 . 2009-12-14 01:23        --------        d-----w-        C:\found.001

2009-12-13 21:20 . 2009-12-14 05:41        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\DoctorWeb

2009-12-11 19:31 . 2009-12-11 19:31        --------        d-----w-        C:\found.000

2009-12-09 19:09 . 2009-12-13 20:23        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\DoctorWeb A

2009-12-08 19:28 . 2009-12-16 19:21        117760        ----a-w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-12-08 19:26 . 2009-12-08 19:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-12-08 18:23 . 2009-12-08 18:24        --------        d-----w-        c:\programme\Sophos

2009-12-08 17:37 . 2009-12-08 17:39        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-12-08 00:59 . 2009-12-08 00:59        --------        d-----w-        c:\programme\ALCATech

2009-12-07 23:20 . 2001-05-28 14:30        8864        ----a-w-        c:\windows\system32\drivers\MARXDEV3.SYS

2009-12-07 23:19 . 2001-11-05 10:56        32960        ----a-w-        c:\windows\system32\drivers\mmrtkrnl.sys

2009-12-07 11:19 . 2009-12-07 11:22        4844296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2009-12-04 21:08 . 2001-08-18 03:22        12288        -c--a-w-        c:\windows\system32\dllcache\mouhid.sys

2009-12-04 21:08 . 2001-08-18 03:22        12288        ----a-w-        c:\windows\system32\drivers\mouhid.sys

2009-12-04 21:07 . 2008-04-13 23:15        10368        -c--a-w-        c:\windows\system32\dllcache\hidusb.sys

2009-12-04 21:07 . 2008-04-13 23:15        10368        ----a-w-        c:\windows\system32\drivers\hidusb.sys

2009-11-29 02:43 . 2009-11-29 02:43        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Malwarebytes

2009-11-26 00:06 . 2009-11-26 00:06        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Foxit

2009-11-24 01:44 . 2009-11-24 01:44        --------        d-----w-        c:\programme\Microsoft Silverlight

2009-11-24 01:42 . 2009-11-24 01:42        --------        d-----w-        c:\programme\Microsoft

2009-11-22 23:35 . 2009-11-22 23:35        79488        ----a-w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-22 19:56 . 2009-11-23 14:39        79488        ----a-w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-22 19:40 . 2009-11-22 19:40        --------        d-----w-        c:\programme\SIW

2009-11-20 22:28 . 2009-11-20 22:28        177024        ----a-w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe

2009-11-20 01:24 . 2009-11-20 01:24        --------        d-----w-        c:\programme\SiSoftware

2009-11-20 00:59 . 2009-11-20 00:59        --------        d-----w-        c:\programme\HD Tune

2009-11-20 00:57 . 2009-03-27 15:36        286208        ----a-w-        c:\programme\gmer.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-17 00:02 . 2009-02-13 10:00        424736        --sha-w-        c:\windows\system32\drivers\fidbox.dat

2009-12-16 23:58 . 2009-02-13 10:00        2852896        --sha-w-        c:\windows\system32\drivers\fidbox2.dat

2009-12-16 23:58 . 2009-02-13 10:00        32        --sha-w-        c:\windows\system32\drivers\fidbox.idx

2009-12-16 23:52 . 2009-02-13 10:00        283076        --sha-w-        c:\windows\system32\drivers\fidbox2.idx

2009-12-16 19:18 . 2009-07-14 17:00        --------        d-----w-        c:\programme\SUPERAntiSpyware

2009-12-16 18:39 . 2009-02-13 10:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2009-12-14 06:06 . 2009-11-10 18:16        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\vlc

2009-12-09 02:11 . 2009-03-18 03:26        --------        d-----w-        c:\programme\Unlocker

2009-12-09 01:52 . 2009-02-01 18:15        --------        d-----w-        c:\programme\Free WMA to MP3 Converter

2009-12-09 00:24 . 2009-03-18 03:26        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker

2009-12-08 19:27 . 2009-07-15 07:34        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com

2009-12-08 17:21 . 2009-07-12 21:24        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-12-07 19:45 . 2009-11-08 20:58        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-12-03 15:14 . 2009-11-08 20:58        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-03 15:13 . 2009-11-08 20:58        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-11-23 19:32 . 2009-08-15 08:28        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Nero

2009-11-22 19:20 . 2009-02-17 18:01        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Orbit

2009-11-22 19:12 . 2009-02-17 17:59        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Orbit

2009-11-21 20:17 . 2008-12-05 01:24        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\dvdcss

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp

2009-11-18 01:19 . 2009-07-13 19:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2009-11-18 01:09 . 2009-07-13 20:06        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-11-17 20:30 . 2009-11-12 04:24        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\vlc

2009-11-12 18:01 . 2009-11-12 18:01        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\.clamwin

2009-11-12 17:11 . 2009-11-12 17:11        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\.clamwin

2009-11-12 17:10 . 2009-11-12 17:10        --------        d-----w-        c:\programme\ClamWin

2009-11-11 18:11 . 2009-07-13 20:06        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2009-11-10 14:36 . 2009-11-10 14:28        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\Winamp

2009-11-10 14:30 . 2009-11-10 14:28        --------        d-----w-        c:\programme\Winamp

2009-11-10 14:06 . 2009-11-10 14:06        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Winamp

2009-11-08 20:58 . 2009-11-08 20:58        --------        d-----w-        c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Malwarebytes

2009-11-08 20:58 . 2009-11-08 20:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-11-04 07:35 . 2009-07-14 17:03        117760        ----a-w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-11-02 15:02 . 2009-11-02 15:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

2009-10-31 15:01 . 2009-10-31 15:01        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan

2009-10-28 09:44 . 2001-08-23 11:00        70778        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-28 09:44 . 2001-08-23 11:00        405448        ----a-w-        c:\windows\system32\perfh007.dat

2009-10-25 15:20 . 2009-10-25 15:20        --------        d-----w-        c:\dokumente und einstellungen\xxx  Admin\Anwendungsdaten\dvdcss

2009-10-19 11:09 . 2009-02-13 10:01        95259        ----a-w-        c:\windows\system32\drivers\klick.dat

2009-10-19 11:09 . 2009-02-13 10:01        108059        ----a-w-        c:\windows\system32\drivers\klin.dat

2009-05-12 14:35 . 2009-07-14 12:02        49974        ----a-w-        c:\programme\readsavxp_76_eng.html

2008-01-27 00:14 . 2009-05-11 20:30        75082408        ----a-w-        c:\programme\90d_enu.exe

2007-10-22 17:06 . 2009-07-14 12:02        3189        ----a-w-        c:\programme\readesavxpsa.txt

2004-05-07 10:25 . 2009-07-14 12:02        1822520        ----a-w-        c:\programme\instmsiW.exe

2006-05-03 10:06 . 2009-02-07 10:03        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 11:47 . 2009-02-07 10:03        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 13:30 . 2009-02-07 10:03        216064        --sh--r-        c:\windows\system32\nbDX.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080]

"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]

"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536]

"UnlockerAssistant"="c:\dokumente und einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]

"ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@=""
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]

@=""
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"=

"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]

R0 NeroCdNt;NeroCdNt; [x]

R2 acehlp10;acehlp10;c:\windows\System32\drivers\acehlp10.sys [2007-10-26 250560]

R3 MaplomL;MaplomL; [x]

R3 MHIKEY10;MHIKEY10;c:\windows\system32\Drivers\MHIKEY10.sys [2008-05-27 51072]

R3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [2009-08-17 99176]

R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-11-23 7408]

R3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]

S0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2007-09-05 39472]

S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-11-23 9968]

S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-11-23 74480]

S2 acedrv10;acedrv10;c:\windows\System32\drivers\acedrv10.sys [2007-10-28 583128]

S2 ASPIXNT;ASPIXNT; [x]

S2 MarxDev3;MarxDev3; [x]

S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]

S3 WinDSLa;WinDSL-Adapter  (PPP-over-Ethernet);c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.internetcologne.de

mStart Page = hxxp://www.internetcologne.de

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\dokumente und einstellungen\xxx  Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-17 00:58

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(976)

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll

c:\programme\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\klogon.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll
 

- - - - - - - > 'lsass.exe'(1032)

c:\windows\system32\relog_ap.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll
 

- - - - - - - > 'explorer.exe'(2688)

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\System32\SCardSvr.exe

c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe

c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\System32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-12-17  01:07:01 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-12-17 00:06
 

Vor Suchlauf: 11 Verzeichnis(se), 36.742.320.128 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 36.567.228.416 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 

- - End Of File - - 1E6B00115C16DE3B7EB043E639ADF4DC

ich habe es noch mal drüberlaufen lassen, wegen der festplattenproblematik. diesmal wurde der pc nicht automatisch neu gebootet.

Code:


 

ComboFix 09-12-16.01 - xxx Online 17.12.2009   1:53.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.281 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe

AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
 

----- BITS: Eventuell infizierte Webseiten -----
 

hxxp://armmf.adobe.com

.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-17 bis 2009-12-17  ))))))))))))))))))))))))))))))

.
 

2009-12-15 22:17 . 2009-12-15 22:17        --------        d-----w-        C:\_OTL

2009-12-14 03:53 . 2009-12-14 03:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip

2009-12-14 01:23 . 2009-12-14 01:23        --------        d-----w-        C:\found.001

2009-12-13 21:20 . 2009-12-14 05:41        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\DoctorWeb

2009-12-11 19:31 . 2009-12-11 19:31        --------        d-----w-        C:\found.000

2009-12-09 19:09 . 2009-12-13 20:23        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\DoctorWeb A

2009-12-08 19:28 . 2009-12-16 19:21        117760        ----a-w-        c:\dokumente und einstellungen\Claudia Online\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-12-08 19:26 . 2009-12-08 19:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-12-08 18:23 . 2009-12-08 18:24        --------        d-----w-        c:\programme\Sophos

2009-12-08 17:37 . 2009-12-08 17:39        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-12-08 00:59 . 2009-12-08 00:59        --------        d-----w-        c:\programme\ALCATech

2009-12-07 23:20 . 2001-05-28 14:30        8864        ----a-w-        c:\windows\system32\drivers\MARXDEV3.SYS

2009-12-07 23:19 . 2001-11-05 10:56        32960        ----a-w-        c:\windows\system32\drivers\mmrtkrnl.sys

2009-12-07 11:19 . 2009-12-07 11:22        4844296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2009-12-04 21:08 . 2001-08-18 03:22        12288        -c--a-w-        c:\windows\system32\dllcache\mouhid.sys

2009-12-04 21:08 . 2001-08-18 03:22        12288        ----a-w-        c:\windows\system32\drivers\mouhid.sys

2009-12-04 21:07 . 2008-04-13 23:15        10368        -c--a-w-        c:\windows\system32\dllcache\hidusb.sys

2009-12-04 21:07 . 2008-04-13 23:15        10368        ----a-w-        c:\windows\system32\drivers\hidusb.sys

2009-11-29 02:43 . 2009-11-29 02:43        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Malwarebytes

2009-11-26 00:06 . 2009-11-26 00:06        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Foxit

2009-11-24 01:44 . 2009-11-24 01:44        --------        d-----w-        c:\programme\Microsoft Silverlight

2009-11-24 01:42 . 2009-11-24 01:42        --------        d-----w-        c:\programme\Microsoft

2009-11-22 23:35 . 2009-11-22 23:35        79488        ----a-w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-22 19:56 . 2009-11-23 14:39        79488        ----a-w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-22 19:40 . 2009-11-22 19:40        --------        d-----w-        c:\programme\SIW

2009-11-20 22:28 . 2009-11-20 22:28        177024        ----a-w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe

2009-11-20 01:24 . 2009-11-20 01:24        --------        d-----w-        c:\programme\SiSoftware

2009-11-20 00:59 . 2009-11-20 00:59        --------        d-----w-        c:\programme\HD Tune

2009-11-20 00:57 . 2009-03-27 15:36        286208        ----a-w-        c:\programme\gmer.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-17 01:00 . 2009-02-13 10:00        491040        --sha-w-        c:\windows\system32\drivers\fidbox.dat

2009-12-17 01:00 . 2009-02-13 10:00        2857248        --sha-w-        c:\windows\system32\drivers\fidbox2.dat

2009-12-17 00:41 . 2009-02-13 10:00        32        --sha-w-        c:\windows\system32\drivers\fidbox.idx

2009-12-17 00:41 . 2009-02-13 10:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2009-12-17 00:33 . 2009-02-13 10:00        283292        --sha-w-        c:\windows\system32\drivers\fidbox2.idx

2009-12-16 19:18 . 2009-07-14 17:00        --------        d-----w-        c:\programme\SUPERAntiSpyware

2009-12-14 06:06 . 2009-11-10 18:16        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\vlc

2009-12-09 02:11 . 2009-03-18 03:26        --------        d-----w-        c:\programme\Unlocker

2009-12-09 01:52 . 2009-02-01 18:15        --------        d-----w-        c:\programme\Free WMA to MP3 Converter

2009-12-09 00:24 . 2009-03-18 03:26        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker

2009-12-08 19:27 . 2009-07-15 07:34        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com

2009-12-08 17:21 . 2009-07-12 21:24        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-12-07 19:45 . 2009-11-08 20:58        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-12-03 15:14 . 2009-11-08 20:58        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-03 15:13 . 2009-11-08 20:58        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-11-23 19:32 . 2009-08-15 08:28        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Nero

2009-11-22 19:20 . 2009-02-17 18:01        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Orbit

2009-11-22 19:12 . 2009-02-17 17:59        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Orbit

2009-11-21 20:17 . 2008-12-05 01:24        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\dvdcss

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp

2009-11-20 01:29 . 2009-11-20 01:29        0        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp

2009-11-18 01:19 . 2009-07-13 19:33        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2009-11-18 01:09 . 2009-07-13 20:06        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-11-17 20:30 . 2009-11-12 04:24        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\vlc

2009-11-12 18:01 . 2009-11-12 18:01        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\.clamwin

2009-11-12 17:11 . 2009-11-12 17:11        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\.clamwin

2009-11-12 17:10 . 2009-11-12 17:10        --------        d-----w-        c:\programme\ClamWin

2009-11-11 18:11 . 2009-07-13 20:06        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2009-11-10 14:36 . 2009-11-10 14:28        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Winamp

2009-11-10 14:30 . 2009-11-10 14:28        --------        d-----w-        c:\programme\Winamp

2009-11-10 14:06 . 2009-11-10 14:06        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Winamp

2009-11-08 20:58 . 2009-11-08 20:58        --------        d-----w-        c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Malwarebytes

2009-11-08 20:58 . 2009-11-08 20:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-11-04 07:35 . 2009-07-14 17:03        117760        ----a-w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2009-11-02 15:02 . 2009-11-02 15:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

2009-10-31 15:01 . 2009-10-31 15:01        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan

2009-10-28 09:44 . 2001-08-23 11:00        70778        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-28 09:44 . 2001-08-23 11:00        405448        ----a-w-        c:\windows\system32\perfh007.dat

2009-10-25 15:20 . 2009-10-25 15:20        --------        d-----w-        c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\dvdcss

2009-10-19 11:09 . 2009-02-13 10:01        95259        ----a-w-        c:\windows\system32\drivers\klick.dat

2009-10-19 11:09 . 2009-02-13 10:01        108059        ----a-w-        c:\windows\system32\drivers\klin.dat

2009-05-12 14:35 . 2009-07-14 12:02        49974        ----a-w-        c:\programme\readsavxp_76_eng.html

2008-01-27 00:14 . 2009-05-11 20:30        75082408        ----a-w-        c:\programme\90d_enu.exe

2007-10-22 17:06 . 2009-07-14 12:02        3189        ----a-w-        c:\programme\readesavxpsa.txt

2004-05-07 10:25 . 2009-07-14 12:02        1822520        ----a-w-        c:\programme\instmsiW.exe

2006-05-03 10:06 . 2009-02-07 10:03        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 11:47 . 2009-02-07 10:03        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 13:30 . 2009-02-07 10:03        216064        --sh--r-        c:\windows\system32\nbDX.dll

.
 

(((((((((((((((((((((((((((((   SnapShot@2009-12-16_23.59.35   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-12-17 00:35 . 2009-12-17 00:35        16384              c:\windows\Temp\Perflib_Perfdata_768.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080]

"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]

"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536]

"UnlockerAssistant"="c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]

"ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@=""
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]

@=""
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"=

"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [12.02.2009 05:56 39472]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.11.2009 08:43 9968]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.11.2009 08:43 74480]

R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [28.10.2007 16:35 583128]

R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [27.12.2008 17:00 6336]

R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [08.12.2009 00:20 8864]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 14:28 24592]

R3 WinDSLa;WinDSL-Adapter  (PPP-over-Ethernet);c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]

S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [27.12.2008 17:00 13344]

S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [26.10.2007 14:53 250560]

S3 MaplomL;MaplomL;c:\windows\system32\drivers\maploml.sys [28.12.2008 09:13 38336]

S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [15.08.2009 21:30 51072]

S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [20.11.2009 02:24 99176]

S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.11.2009 08:43 7408]

S3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.internetcologne.de

mStart Page = hxxp://www.internetcologne.de

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-17 02:00

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(940)

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll

c:\programme\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\klogon.dll
 

- - - - - - - > 'lsass.exe'(996)

c:\windows\system32\relog_ap.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll

c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll

.

Zeit der Fertigstellung: 2009-12-17  02:02:56

ComboFix-quarantined-files.txt  2009-12-17 01:02
 

Vor Suchlauf: 14 Verzeichnis(se), 36.575.940.608 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 36.538.298.368 Bytes frei
 

- - End Of File - - 82D7AEE356E985173DE6EC03A3AF20A3

Bitte nicht auf eigene Faust hantieren.
Hast du chkdsk laufen lassen ?

Code:

armmf.adobe.com

Dir bekannt?

ist das die datenträgerüberprüfung? dann ja, vor zwei tagen in etwa, glaube ich, hat der pc automatisch beim neustart alles geprüft, weil bei einem virenscan- ich glaube drweb? defekte 2 dateien/verzeichnisse? angezeigt wurden.

Code:



armmf.adobe.com

ich war erst skeptisch und dann dachte ich , das kommt von der installation des aktuellen adobe readers, da die meldung neu ist... :o

super-anti hat auch reaktion ausgelöst:

Code:



16.12.2009 20:20:05        Prozess C:\Programme\SUPERAntiSpyware\2ae42daa-52e2-4b9b-9558-8d917d7ae1f2.exe (PID: 3416): Versuch zur Ausführung von verdächtigen Aktionen wurde erlaubt.

hier mal ein auszug der neuesten kaspersky-meldungen.:

Code:



17.12.2009 02:15:09        Prozess C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (PID 428) wurde erfolgreich abgeschlossen.

17.12.2009 02:15:09        Fehler beim Verschieben von C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe in die Quarantäne (Zugriff ist verboten oder Objekt wurde nicht gefunden)

17.12.2009 02:15:10        Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.

17.12.2009 02:15:15        Der Versuch von Prozess  mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 02:15:15        Der Versuch von Prozess  mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 02:27:40        Der Versuch von Prozess  mit PID 1928 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 02:34:51        Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).

17.12.2009 02:34:51        Datei C:\WINDOWS:45203195861BE07A wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben.

17.12.2009 02:34:51        Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).

17.12.2009 02:34:54        Datei C:\WINDOWS:45203195861BE07A wird beim Neustart des Computers gelöscht werden.

17.12.2009 02:57:36        Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35

17.12.2009 03:50:08        Der Versuch von Prozess  mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 03:50:08        Der Versuch von Prozess  mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 15:11:27        Schutz des Computers ist aktiv.

17.12.2009 15:11:34        Der Versuch von Prozess  mit PID 1856 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 15:11:41        Der Versuch von Prozess  mit PID 916 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

17.12.2009 15:22:51        Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 221.130.140.18. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 15:22:51

17.12.2009 15:23:11        Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation).

und ein und die selbe (u.a.) adresse wird von kaspersky häufig gemeldet:

Code:



17.12.2009 02:57:36        Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35

weiss nicht, ob das hilft, dachte ich poste es mal...

alles weitere wieder nur nach anweisung :)

schritt 1

Öffne Kaspersky. Klicke auf "Einstellungen", "Service" und auf "Erweitert". Entferne das Häkchen (ganz links/unter "Anzeige") bei "Erkennung von Netzwerkangriffen".
Klicke auf "OK", auf "Übernehmen" und auf "OK".

Diese Lücke wurde von MS schon sehr lange gefixt.

schritt 2

Lösche unter C:\ die Ordner Found.001 und 000

schritt 3

Deinstalliere SuperAntiSpyware.

schritt 4

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KillAll::

ADS::

C:\WINDOWS:45203195861BE07A

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

schritt 5

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in Code-Tags hier in den Thread.

statt:

"Erkennung von Netzwerkangriffen".

finde ich unter ANSICHT nur:

"ereignisbenachrichtigung aktivieren" kann es das sein?

'schulligung- habs doch gefunden. erkennen von netzwerkangriffen. haken raus bei anzeige und ton.

bei deinstallation von super freeware sind zwei seltsame sachen passiert:
1. fenster öffnet sich: close the following application before continuing install:

Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A\trojaner-board\mozilla firefox (wiedergabe nicht 100% korrekt)

daraufhin habe ich firefox geschlossen.

dann öffneten sich plötzlich 2 ie -fenster und kaspersky meldet alarm:

17.12.2009 16:46:39 Die Anwendung IEXPLORE.EXE wurde verändert

entweder wurde sie verändert, oder ist infiziert.

ich habe den zugriff verweigert, und die fenster geschlossen.

lt ccleaner ist super freeware deinstalliert.

Ich hab die Anleitung selber gegooglet. Ich hab keine Ahnung von Kas ;)