Results 1 to 5 of 5

Thread: Virtumonde hat mich infiziert

  1. #1
    Junior Member
    Join Date
    Sep 2008
    Posts
    3

    Default Virtumonde hat mich infiziert

    Nun möchte ich den Vogel gerne wieder loswerden und da fehlt mir noch das richtige "Penicilin". ich hoffe Ihr könnt mir da helfen, denn ich bin da der DAU und schäme mich nahezu dafür, dass ich fast ohne virtuelles Gummi gesurft bin.

    Combofix hab ich eben duchlaufen lassen, ich hoffe das war soweit okay, denn irgendwie wurde es bei jedem Virtumondothread als erstes Posting geschrieben.

    Danke im voraus, auch wenn ich nu in Bett gehe und morgen Abend erst wieder am Rechner bin......

    Hier das LOG:

    ComboFix 08-09-25.03 - Administrator 2008-09-25 21:39:01.1 - NTFSx86
    ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@komtrack[2].txt
    C:\WINDOWS\BMd7f72a04.txt
    C:\WINDOWS\BMd7f72a04.xml
    C:\WINDOWS\system32\rqRkjgEX.dll

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
    .

    2008-09-25 19:44 . 2008-09-25 21:19 318 --a------ C:\WINDOWS\wininit.ini
    2008-09-25 19:27 . 2008-09-25 19:30 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
    2008-09-25 19:27 . 2008-09-25 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-09-25 18:33 . 2008-09-25 18:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
    2008-09-25 18:33 . 2008-09-25 19:09 941,033 ---hs---- C:\WINDOWS\system32\odddyfql.ini
    2008-09-25 18:33 . 2008-09-25 18:33 112,128 --a------ C:\WINDOWS\system32\mkfhcd.dll
    2008-09-25 18:33 . 2008-09-25 18:33 112,128 --a------ C:\WINDOWS\system32\lxemvcpj.dll
    2008-09-25 18:30 . 2008-09-25 18:30 253,952 --------- C:\WINDOWS\system32\qoMccCrr.dll_old
    2008-09-25 18:30 . 2008-09-25 21:36 4,080 --ahs---- C:\WINDOWS\system32\rrCccMoq.ini2
    2008-09-25 18:30 . 2008-09-25 21:39 4,080 --ahs---- C:\WINDOWS\system32\rrCccMoq.ini
    2008-09-25 18:24 . 2008-09-25 18:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
    2008-08-30 21:20 . 2008-08-30 21:20 <DIR> d--h----- C:\WINDOWS\PIF

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-25 20:15 --------- d-----w C:\Programme\Steam
    2008-09-25 20:13 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WTablet
    2008-09-25 20:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
    2008-09-25 16:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
    2008-09-25 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
    2008-09-25 16:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
    2008-09-25 16:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
    2008-09-23 19:47 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
    2008-09-02 06:42 --------- d-----w C:\Programme\LEGO Company
    2008-08-24 15:14 --------- d-----w C:\Programme\Apple Software Update
    2008-08-24 09:29 --------- d-----w C:\Programme\iTunes
    2008-08-24 09:29 --------- d-----w C:\Programme\iPod
    2008-08-24 09:28 --------- d-----w C:\Programme\Bonjour
    2008-08-16 12:23 --------- d-----w C:\Programme\CDisplay
    2008-08-14 20:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
    2008-08-11 15:22 --------- d-----w C:\Programme\fc-prints
    2008-08-10 11:04 --------- d-----w C:\Programme\DivX
    2008-08-09 12:14 --------- d-----w C:\Programme\Java
    2008-08-03 12:16 --------- d-----w C:\Programme\QuickTime
    2008-07-29 08:43 7,680 ----a-w C:\WINDOWS\system32\uigxnp.dll
    2008-07-29 08:43 149,120 ----a-w C:\WINDOWS\system32\drivers\uigxrdr.SYS
    2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
    2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
    2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
    2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
    2007-03-26 12:49 32,768 ----a-w C:\Dokumente und Einstellungen\Cookies\index.dat
    .

    ------- Sigcheck -------

    2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys
    .
    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df077756-67b9-41d8-941f-9371bf7b103f}]
    2008-09-25 18:33 112128 --a------ C:\WINDOWS\system32\mkfhcd.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
    "Steam"="C:\Programme\Steam\Steam.exe" [2008-03-28 1271032]
    "GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 909312]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
    "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
    "Acrobat Assistant 7.0"="C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-18 185784]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-11-11 208952]
    "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-11-11 59392]
    "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
    "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
    "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-30 2595616]
    "AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-30 909208]
    "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-30 140568]
    "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
    "AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
    "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=mkfhcd.dll

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
    path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
    backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
    backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase Startup.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase Startup.lnk
    backup=C:\WINDOWS\pss\Suitcase Startup.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    --a------ 2006-11-16 19:04 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    --a------ 2008-07-30 10:47 289064 C:\Programme\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2006-01-12 15:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
    --a------ 2007-08-07 02:05 200704 C:\Programme\PowerISO\PWRISOVM.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    -ra------ 2008-05-30 15:54 21718312 C:\Programme\Skype\Phone\Skype.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    -r------- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    -r------- 2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    -r------- 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Programme\\Azureus\\Azureus.exe"=
    "C:\\Programme\\Konz\\Steuer-Software\\EP_Konz.exe"=
    "C:\\Programme\\Konz\\Steuer-Software\\KonzSteuersoftware.exe"=
    "C:\\Programme\\Bonjour\\mDNSResponder.exe"=
    "C:\\Programme\\iTunes\\iTunes.exe"=
    "C:\\Programme\\Konz\\Steuer-Software\\EPUpdate.exe"=
    "C:\\Programme\\Skype\\Phone\\Skype.exe"=

    R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-04-12 368544]
    R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 149120]
    R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]
    R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2006-02-14 5632]
    R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2006-11-15 6272]
    S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;C:\WINDOWS\system32\DRIVERS\silabenm.sys [2007-06-29 17920]
    S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;C:\WINDOWS\system32\DRIVERS\silabser.sys [2007-06-29 58368]
    S3 Spyder2;ColorVision Spyder2;C:\WINDOWS\system32\DRIVERS\Spyder2.sys [2007-01-17 12288]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
    \Shell\AutoRun\command - H:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{289b1cce-648b-11dd-a5e1-00508dc40bb2}]
    \Shell\AutoRun\command - H:\LaunchU3.exe -a
    .
    Inhalt des "geplante Tasks" Ordners
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -

    BHO-{C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\rqRkjgEX.dll
    BHO-{CA1E4879-13CD-4946-93DD-411213C856F3} - C:\WINDOWS\system32\qoMccCrr.dll
    HKLM-Run-BMd7f72a04 - C:\WINDOWS\system32\gkngnpof.dll
    HKLM-Run-RAM_DEFRAG - (no file)
    ShellExecuteHooks-{C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\rqRkjgEX.dll


    .
    ------- Zusätzlicher Suchlauf -------
    .
    FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\96b3lma6.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.winamp.com?src=toolbar
    FF -: plugin - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
    FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-25 22:15:10
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\Tablet.exe
    C:\Programme\TVersity\Media Server\MediaServer.exe
    C:\Programme\UPHClean\uphclean.exe
    C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\WTablet\TabUserW.exe
    C:\WINDOWS\system32\Tablet.exe
    C:\ComboFix\pv.cfexe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-09-25 22:19:14 - PC wurde neu gestartet
    ComboFix-quarantined-files.txt 2008-09-25 20:19:07

    Vor Suchlauf: 10 Verzeichnis(se), 19.055.407.104 Bytes frei
    Nach Suchlauf: 13 Verzeichnis(se), 20,907,470,848 Bytes frei

    200

  2. #2
    Expert-Visiting Fellow
    Join Date
    Oct 2005
    Location
    Nordhorn/Germany
    Posts
    853

    Default

    Hallo H-DGronewold,

    arbeite bitte folgendes ab:

    1. Starte das Notepad (Start / Ausführen / notepad[Enter])

    2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
    Code:
    http://forums.spybot.info/showthread.php?p=237923
    collect::
    C:\WINDOWS\system32\mkfhcd.dll
    C:\WINDOWS\system32\lxemvcpj.dll
    C:\WINDOWS\system32\qoMccCrr.dll_old
    
    
    file::
    C:\WINDOWS\wininit.ini
    C:\WINDOWS\system32\odddyfql.ini
    C:\WINDOWS\system32\rrCccMoq.ini2
    C:\WINDOWS\system32\rrCccMoq.ini
    
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df077756-67b9-41d8-941f-9371bf7b103f}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "appinit_dlls"=""
    3. Speichere im Notepad als CFScript.txt auf dem Desktop.

    4. Deaktivere den Guard Deines Antivirenprogramms.
    (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

    5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





    6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
    Combofix.txt

    7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

    Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

    Poste den neu erstellten Combofix Report

    Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
    MfG Ralf

  3. #3
    Junior Member
    Join Date
    Sep 2008
    Posts
    3

    Default hmmmhh.....

    Hi, also nach dem Scan ging keine notificationbox auf und der browser hat sich auch nicht geöffnet. Hier aber das Log – BTW ich habe den Combofix vorher geupdatet, was das falsch?

    Log:

    ComboFix 08-09-25.06 - Administrator 2008-09-26 16:19:15.2 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.578 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
    Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt
    * Neuer Wiederherstellungspunkt wurde erstellt

    Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

    FILE ::
    C:\WINDOWS\system32\odddyfql.ini
    C:\WINDOWS\system32\rrCccMoq.ini
    C:\WINDOWS\system32\rrCccMoq.ini2
    C:\WINDOWS\wininit.ini
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\lxemvcpj.dll
    C:\WINDOWS\system32\mkfhcd.dll
    C:\WINDOWS\system32\odddyfql.ini
    C:\WINDOWS\system32\qoMccCrr.dll_old
    C:\WINDOWS\system32\rrCccMoq.ini
    C:\WINDOWS\system32\rrCccMoq.ini2
    C:\WINDOWS\wininit.ini

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-08-26 bis 2008-09-26 ))))))))))))))))))))))))))))))
    .

    2008-09-25 19:27 . 2008-09-25 19:30 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
    2008-09-25 19:27 . 2008-09-25 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-09-25 18:33 . 2008-09-25 18:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
    2008-09-25 18:24 . 2008-09-25 18:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
    2008-08-30 21:20 . 2008-08-30 21:20 <DIR> d--h----- C:\WINDOWS\PIF

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-26 14:23 --------- d-----w C:\Programme\Steam
    2008-09-26 14:21 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WTablet
    2008-09-26 14:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
    2008-09-25 16:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
    2008-09-25 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
    2008-09-25 16:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
    2008-09-25 16:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
    2008-09-23 19:47 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
    2008-09-02 06:42 --------- d-----w C:\Programme\LEGO Company
    2008-08-24 15:14 --------- d-----w C:\Programme\Apple Software Update
    2008-08-24 09:29 --------- d-----w C:\Programme\iTunes
    2008-08-24 09:29 --------- d-----w C:\Programme\iPod
    2008-08-24 09:28 --------- d-----w C:\Programme\Bonjour
    2008-08-16 12:23 --------- d-----w C:\Programme\CDisplay
    2008-08-14 20:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
    2008-08-11 15:22 --------- d-----w C:\Programme\fc-prints
    2008-08-10 11:04 --------- d-----w C:\Programme\DivX
    2008-08-09 12:14 --------- d-----w C:\Programme\Java
    2008-08-03 12:16 --------- d-----w C:\Programme\QuickTime
    2008-07-29 08:43 7,680 ----a-w C:\WINDOWS\system32\uigxnp.dll
    2008-07-29 08:43 149,120 ----a-w C:\WINDOWS\system32\drivers\uigxrdr.SYS
    2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
    2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
    2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
    2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
    2007-03-26 12:49 32,768 ----a-w C:\Dokumente und Einstellungen\Cookies\index.dat
    .

    ------- Sigcheck -------

    2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys
    .
    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
    "Steam"="C:\Programme\Steam\Steam.exe" [2008-03-28 1271032]
    "GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 909312]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
    "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
    "Acrobat Assistant 7.0"="C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-18 185784]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-11-11 208952]
    "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-11-11 59392]
    "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
    "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
    "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-30 2595616]
    "AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-30 909208]
    "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-30 140568]
    "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
    "AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
    "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
    path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
    backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
    backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase Startup.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase Startup.lnk
    backup=C:\WINDOWS\pss\Suitcase Startup.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    --a------ 2006-11-16 19:04 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    --a------ 2008-07-30 10:47 289064 C:\Programme\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2006-01-12 15:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
    --a------ 2007-08-07 02:05 200704 C:\Programme\PowerISO\PWRISOVM.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    -ra------ 2008-05-30 15:54 21718312 C:\Programme\Skype\Phone\Skype.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    -r------- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    -r------- 2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    -r------- 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Programme\\Azureus\\Azureus.exe"=
    "C:\\Programme\\Konz\\Steuer-Software\\EP_Konz.exe"=
    "C:\\Programme\\Konz\\Steuer-Software\\KonzSteuersoftware.exe"=
    "C:\\Programme\\Bonjour\\mDNSResponder.exe"=
    "C:\\Programme\\iTunes\\iTunes.exe"=
    "C:\\Programme\\Konz\\Steuer-Software\\EPUpdate.exe"=
    "C:\\Programme\\Skype\\Phone\\Skype.exe"=

    R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-04-12 368544]
    R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 149120]
    R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]
    R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2006-02-14 5632]
    R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2006-11-15 6272]
    S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;C:\WINDOWS\system32\DRIVERS\silabenm.sys [2007-06-29 17920]
    S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;C:\WINDOWS\system32\DRIVERS\silabser.sys [2007-06-29 58368]
    S3 Spyder2;ColorVision Spyder2;C:\WINDOWS\system32\DRIVERS\Spyder2.sys [2007-01-17 12288]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
    \Shell\AutoRun\command - H:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{289b1cce-648b-11dd-a5e1-00508dc40bb2}]
    \Shell\AutoRun\command - H:\LaunchU3.exe -a
    .
    Inhalt des "geplante Tasks" Ordners
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-26 16:23:12
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\Tablet.exe
    C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
    C:\Programme\TVersity\Media Server\MediaServer.exe
    C:\Programme\UPHClean\uphclean.exe
    C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\WTablet\TabUserW.exe
    C:\WINDOWS\system32\Tablet.exe
    C:\ComboFix\pv.cfexe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-09-26 16:26:50 - PC wurde neu gestartet [Administrator]
    ComboFix-quarantined-files.txt 2008-09-26 14:26:40
    ComboFix2.txt 2008-09-25 20:19:16

    Vor Suchlauf: 10 Verzeichnis(se), 20.977.872.896 Bytes frei
    Nach Suchlauf: 13 Verzeichnis(se), 20,964,388,864 Bytes frei

    185

  4. #4
    Expert-Visiting Fellow
    Join Date
    Oct 2005
    Location
    Nordhorn/Germany
    Posts
    853

    Default

    Das Update von Combofix war schon in Ordnung. Neuer kann nie schaden, aber warum das mit dem Versenden nicht funktioniert hat muss ich noch mal genauer austesten...

    Dateitechnisch scheinst du nun wieder sauber zu sein.
    Deinstalliere Combofix ueber Start Ausfuehren, indem du dort
    combofix /u
    eingibst und enter drueckst.
    Nutze nun die mit Windows gelieferte Datenträgerbereinigung(alles anhaken außer alte Dateien komprimieren) und saeubere die Systemwiederherstellung über "weitere Optionen".
    http://support.microsoft.com/default...d=kb;de;315246

    Dann bitte noch ein Kontrollscan mit Drweb Cureit:
    http://freedrweb.com/

    Sollte das ebenfalls keine Funde anzeigen , aktualisiere dein Windows ueber www.windowsupdate.com und lasse alle wichtigen Updates installieren. Wiederhole das so oft, bis dir keine wichtigen Updates mehr angeboten werden.

    sollte das
    MfG Ralf

  5. #5
    Junior Member
    Join Date
    Sep 2008
    Posts
    3

    Thumbs up So......

    So, Combofix ist runter, Dr. Web Virenscan zeigt keine Meldungen, FF zeigt kein merkwürdiges Verhalten mehr an und ich scheine das kleine Drecksding loszusein.

    Vielen Dank für die schnelle und DAU gerechte Hilfe. Ich bin begeistert.

    Danke und Dir Ralf und dem ganzen Team ein schönes Wochenende

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •