"Mein" Spybot startet auch nicht mehr....

[jekkov]

Hallo Forum,

ich habe soeben festgestellt, dass Spybot nicht mehr startet.
Nach durchlesen eines Threads hier im Forum, soll man also einen eigenen erstellen, um auf evtl. Anweisung eines Members zu handeln.
Mistrauisch wurde ich, als AV folgendes fand:
In der Datei 'C:\DOKUME~1\Udo\LOKALE~1\Temp\Acr5058.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.pta' [exploit] gefunden.
Ausgeführte Aktion: Datei löschen

und dann später noch einmal:
In der Datei 'C:\DOKUME~1\Udo\LOKALE~1\Temp\UACbdf6.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.HB.3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


Ich würde mich freuen, wenn mir hier weitergeholfen werden kann!
Danke im Voraus!
J

[raman]

Hallo jekkov,

Aktualisiere bitte Antivir, mache einen Rootkitscan und lasse alle Funde in Quarantaene schieben. Poste den erstellten Bericht, sofern etwas gefunden wurde.

Erstelle und poste bitte einen Gmer Report. Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...

Um Gmer unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die heruntergeladenen Exedatei und "Als Administrator ausfuehren" waehlen.

[jekkov]

Hallo Raman,

eine Option für rootkitscan finde ich nix beim AV (Personal) habe bei "extras/bootsektoren prüfen" einen scan gemacht, es wurde nichts gefunden, nur -bei jeder Partition- je 2Warnungen beschrieben.
Werde mich jetzt um einen Gmer Report (für XP) kümmern, danke mal soweit!

Gruss J

[raman]

Du nutzt noch die 8er Version von Antivir!?

[jekkov]

Ähem....ja?! Ich denke, AV aktualisiert und downloaded die neuesten Versionen immer bei der Meldung "Update"?
Ich bin leider nicht so ein PC-Profi, ich schaff´s zwar immer Probleme zu beseitigen, aber auch nur mit Hilfe von Foren wie dieses hier z.Bleistift! Ansonsten bin ich einfach -->
Dann mach ich mich mal schlau, deine Frage klingt nämlich ganz schön entsetzt überrascht

Anbei die Log-Datei des Scann:

PHP Code:

GMER 1.0.15.15020 [x9ub9d7y.exe] - http://www.gmer.net
Rootkit scan 2009-08-16 11:35:18
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code            8A34AD18                                                                                                                      ZwEnumerateKey
Code            8A3518D8                                                                                                                      ZwFlushInstructionCache
Code            8A34AD4E                                                                                                                      IofCallDriver
Code            8A36EE16                                                                                                                      IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!IofCallDriver                                                                                                    804E37C5 5 Bytes  JMP 8A34AD53 
.text           ntoskrnl.exe!IofCompleteRequest                                                                                               804E3BF6 5 Bytes  JMP 8A36EE1B 
PAGE            ntoskrnl.exe!ZwEnumerateKey                                                                                                   80570D64 5 Bytes  JMP 8A34AD1C 
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                                          80577693 5 Bytes  JMP 8A3518DC 
?               srescan.sys                                                                                                                   Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Microsoft Office\Office12\WINWORD.EXE[3064] kernel32.dll!SetUnhandledExceptionFilter                             7C84495D 5 Bytes  JMP 3260531D C:\Programme\Gemeinsame Dateien\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text           C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!closesocket                                                         71A13E2B 5 Bytes  JMP 100129A0 \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!connect                                                             71A14A07 5 Bytes  JMP 100127E0 \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!send                                                                71A14C27 5 Bytes  JMP 100127C0 \\?\globalroot\systemroot\system32\UACmietmfklxk.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                           [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                          [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                                    [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                                      [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                                        [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                             [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                            [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                                       [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                                     [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                           [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                            [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                             [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                              [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                         [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]                                                               [A7BAE330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                                      [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                                        [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                             [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                            [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                           [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                            [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                                     [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                                       [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                                       [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                                     [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                           [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                            [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]                                                       [A7B995C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]                                                               [A7B99770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]                                                               [A7B992D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                                                                 [A7B99670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\ZoneLabs\vsmon.exe[732] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!GetProcAddress]                    [00342C13] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\WINDOWS\system32\ZoneLabs\vsmon.exe[732] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!UnhandledExceptionFilter]          [00342D34] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\WINDOWS\system32\ZoneLabs\vsmon.exe[732] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!TerminateProcess]                  [00342D03] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe[1752] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!GetProcAddress]            [00352C13] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe[1752] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00352D34] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe[1752] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!TerminateProcess]          [00352D03] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                        avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device          \Driver\Tcpip \Device\Ip                                                                                                      vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Tcp                                                                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device                                                                                                                                        pci.sys (NT-Plug & Play PCI-Enumerator/Microsoft Corporation)
Device                                                                                                                                        atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation)
Device          \Driver\Tcpip \Device\Udp                                                                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                                                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                             vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                      avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                                            tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                                 tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                             tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                              tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                             tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
---- Processes - GMER 1.0.15 ----

[COLOR="Red"]Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [124]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [796]                0x02AE0000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [876]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [932]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [948]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1008]               0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1128]               0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3268]      0x10000000                                                                                                                                                

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\UACajqoqtnehm.sys (*** hidden *** )                                                               [SYSTEM] UACd.sys    [/COLOR]                                                                                                                                      <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys                                                                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start                                                                         1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type                                                                          1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath                                                                     \systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group                                                                         file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules                                                                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd                                                                  \\?\globalroot\systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc                                                                  \\?\globalroot\systemroot\system32\UACxukvavkufr.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr                                                                \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr                                                                 \\?\globalroot\systemroot\system32\UAClpdwpaknrn.dat
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys (not active ControlSet)                                                           
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@start                                                                             1
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@type                                                                              1
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@imagepath                                                                         \systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@group                                                                             file system
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules (not active ControlSet)                                                   
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@UACd                                                                      \\?\globalroot\systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@UACc                                                                      \\?\globalroot\systemroot\system32\UACxukvavkufr.dll
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@uacbbr                                                                    \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@uacsr                                                                     \\?\globalroot\systemroot\system32\UAClpdwpaknrn.dat

---- EOF - GMER 1.0.15 ---- 


[raman]

Den Wechsel von der 8 zur 9 muss man selber machen, aber das koennen wir noch nachschieben...

Der Uebersichthalber erstelle bitte noch ein Hijackthis Report:Ö
Download: http://www.trendsecure.com/portal/en...HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

[jekkov]

Tataaa hier isses




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:08, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\dit.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Babylon Translator\babylon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\silma_elmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Software\WWWsicherheit\hj\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R3 - URLSearchHook: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Programme\Wisdom-soft\tbWisd.dll
O1 - Hosts: 192.4.1.200 cmm_1 CMM_1 # controler1
O1 - Hosts: 192.4.1.201 cmm_2 CMM_2 # controler2
O1 - Hosts: 192.4.1.202 cmm_3 CMM_3 # controler3
O1 - Hosts: 192.4.1.203 cmm_4 CMM_4 # controler4
O1 - Hosts: 192.4.1.55 cmmws_1 CMMWS_1 # computer1
O1 - Hosts: 192.4.1.56 cmmws_2 CMMWS_2 # computer2
O1 - Hosts: 192.4.1.57 cmmws_3 CMMWS_3 # computer3
O1 - Hosts: 192.4.1.58 cmmws_4 CMMWS_4 # computer4
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Programme\Wisdom-soft\tbWisd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Programme\Wisdom-soft\tbWisd.dll
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Starter] C:\WINDOWS\System32\STARTER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon Translator\babylon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Verknüpfung mit Printkey.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Silma License Manager (SilmaLM) - Unknown owner - C:\WINDOWS\system32\silma_elmd.exe

--
End of file - 8843 bytes

[raman]

Gut, eine kleine Frage noch, wozu brauchst du die IP Eintraege in der Hosts Datei?

Wenn sie nicht wichtig sind, deaktiviere Spybots teatimer und dann kannst du Combofix nutzen:


Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

[jekkov]

PHP Code:

Gut, eine kleine Frage noch, wozu brauchst du die IP Eintraege in der Hosts Datei? 


Wie gesagt, ich bin kein Profi, und die Einstellungen des Spybot habe ich vor langer Zeit auf Empfehlung aus (diesem?) Forum gemacht.
Den Scan mit combofix mache ich heut nicht mehr, die Hitze hat mich heut lahmgelegt!
Falls ich noch vorher eine Antwort bekomme: soll ich den scan offline machen, da ich AV deaktivieren soll? Und Spybot kann (bzw. muss) ich ja auch nur komplett abschalten.

Soweit, danke und gut nacht! (wie geht´n schlafsmily?)

[jekkov]

(kein) Guten Morgen,
habe soeben den combofix probiert (als test umbenannt) und erst nach mehreren Startversuchen lief er an. Allerdings hat er die Meldung gebracht, das Teatimer und AV noch aktiv sind, obwohl ich beide Prozesse im Taskmanager beendet hatte, nachdem es anders nicht einzustellen war.

Jetzt habe ich combofix abgebrochen und guter Rat ist teuer...

Nachtrag:
ach ja, ich bekomme jetzt bei Hochfahren folgende Spybotmeldung:
Kategorie: Command processor
Änderung: Wert gelöscht
Eintrag: AutoRun