AntiVir greift während eines Spyware-Suchlaufs ein

[Matt]

Hallo,

ich habe heute Spybot routinemäßig meinen Rechner überprüfen lassen. Während des Durchlaufs kam eine Meldung vom AntiVir Guard, dass es ein schädliches Programm ("BDS/Shark.B") entdekt hat. Spybot suchte gerade nach "C2.*".

Ich habe dann bei der AntiVir Guard-Meldung auf "Datei löschen" geklickt. Spybot hat keinen Spion gefunden. Ist mein Rechner jetzt "sauber" ?

Ich habe HijackThis noch bemüht. Sind die folgenden Einträge in Ordnung oder sollte ich etwas davon löschen?? Kann mir jemand helfen? Vielen Dank.

-Matt-

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:40, on 13.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Logitech G3\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla\Firefox\firefox.exe
C:\Programme\Sicherheit\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /systrayIconn
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech G3\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1185622111171
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.6.0_04) -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6651 bytes

 

[raman]

Es waere hilfreich zu erfahren, wo und in welcher Datei diesen Backdoor gemeldet hat.

Laut Hijackthis ist dein Rechner "sauber".

 

[Matt]

Hallo,

hier noch ein paar Infos von AntiVir:

In der Datei 'C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\1.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Shark.B' [BDS/Shark.B] gefunden.
Ausgeführte Aktion: Datei löschen


Was kannst du mir darüber sagen?? Vielen Dank.

Grüße,
Matt

 

[X.Novice]

Hallo Matt,

du solltest grundsätzlich bei derlei Antivir-Funden erstmal "in Quarantäne" verschieben wählen, damit weitere Überprüfung etwa bei Virustotal und Upload an Avira möglich (könnte ja auch FP sein);

Zur Meldung selbst nichts zu agen, ausser, dass eben in den VDFs von Antivir...

Ggf. in solchen Fällen auch im Antivir-Forum nachfragen:
http://forum.avira.com/index.php

...derzeit ist dort aber leider das los:



Hast du nachgesehen, ob 1.exe noch vorhanden...?

- vom Java Runtime Environment übrigens schon Update 6 verfügbar...

Gruß,
X.Novice

 

[raman]

Hui, ich hab dich ganz "vergessen". Neben den Tipps und Infos von X.Novice koenntest du noch ein Combofix Report erstellen:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, starte die combofix.exe, bestätige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfügen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird


Nachtrag: Bevor du Combofix nutzt, solltest du den Antivirguard und den Tea-timer deaktivieren. NAch dem "Lauf" kannst du sie wieder aktivieren, allerdings sind sie nach einem Neustart automatisch wieder aktiv.

 

[ght1]

Ich würde das entsprechende File zuerst bei http://www.virustotal.com gegenprüfen. Antivir hat schon mal ab und an einen Fehlalarm :cowboy:

 

[X.Novice]

Ich würde das entsprechende File zuerst bei http://www.virustotal.com gegenprüfen. Antivir hat schon mal ab und an einen Fehlalarm :cowboy:

mag sein, zumal mit hoher Heuristik (aber besser einer zuviel als einer zu wenig...) - bloß:

In der Datei 'C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\1.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Shark.B' [BDS/Shark.B] gefunden.
Ausgeführte Aktion: Datei löschen

Gruß,
X.Novice

 

[Matt]

Das nächste Mal schiebe ich die Datei erst in die Quarantäne, wenn der AntiVirGuard wieder was meldet. Beim Scannen ist es so eingestellt, dass er eine Kopie in die Quarantäne ablegt und die Orginaldatei löscht.

Kann die Datei nicht mehr auf virustotal hochladen, hab sie ja gelöscht. :sad:

AntiVir meldet schon beim Download von combofix, dass es ein Schädling ist... lol

Ich werde morgen Abend mal nen Durchlauf machen. Hab momentan nicht so viel Zeit.

 

[X.Novice]

Das nächste Mal schiebe ich die Datei erst in die Quarantäne, wenn der AntiVirGuard wieder was meldet.
AntiVir meldet schon beim Download von combofix, dass es ein Schädling ist... lol

Hi, beim Download und Ausführen von Combofix (nichts machen, Maus in Ruhe lassen!) den Antivirguard temporär deaktivieren...

Gruß,
X.Novice

 

[Matt]

Hier ist die log-Datei von combofix, wer kann mir helfen?? :bigthumb:


ComboFix 08-04-20.2 - Matthias 2008-04-21 19:59:36.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Matthias\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-12 11:48 . 2008-04-19 12:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-12 11:48 . 2008-04-12 11:48 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-08 11:49 . 2008-04-12 23:23 <DIR> d-------- C:\Programme\CDBurnerXP
2008-04-08 11:49 . 2008-04-08 11:49 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\CDBurnerXP_Soft
2008-04-07 15:18 . 2008-04-07 15:18 <DIR> d-------- C:\Programme\Update Checker
2008-04-04 19:52 . 2008-04-04 19:52 <DIR> d-------- C:\Programme\Hamachi
2008-04-04 19:44 . 2008-04-04 19:57 108,336 --a------ C:\WINDOWS\system32\mswinsck.ocx
2008-04-04 19:44 . 2008-04-04 19:56 54,273 --a------ C:\WINDOWS\keygen.exe
2008-04-04 19:44 . 2008-04-04 19:57 28,160 --a------ C:\WINDOWS\system32\zlib.dll
2008-04-03 12:19 . 2008-04-03 12:20 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-04-03 12:18 . 2008-04-03 12:18 <DIR> d-------- C:\WINDOWS\nview
2008-04-03 12:18 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-04-03 12:18 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-04-03 12:17 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-04-03 11:43 . 2008-04-03 11:44 <DIR> d-------- C:\Programme\QuickTime
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-27 20:13 . 2008-03-27 20:27 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Command & Conquer 3 Kanes Rache
2008-03-26 16:19 . 2008-03-26 16:19 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-03-22 19:34 . 2008-04-13 16:48 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Hamachi
2008-03-22 19:34 . 2008-04-04 19:52 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
14 Datei(en) . 91,916 C:\ComboFix\Bytes
5 Datei(en) . 431,303 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 18:02 27,693,088 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-21 17:55 15,088,598 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-04-20 20:57 325,292 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-20 20:51 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Skype
2008-04-20 18:23 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\skypePM
2008-04-17 15:32 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-07 12:34 --------- d-----w C:\Programme\Miranda IM
2008-04-04 17:57 0 ----a-w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Pfz4nqyU.exe
2008-04-04 17:51 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-04 17:51 --------- d-----w C:\Programme\TeXnicCenter
2008-04-04 17:51 --------- d-----w C:\Programme\SMSC
2008-04-03 09:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-03 09:41 --------- d-----w C:\Programme\VLC Player
2008-03-29 15:10 --------- d-----w C:\Programme\IrfanView
2008-03-29 07:53 3,963,904 ----a-w C:\WINDOWS\Internet Logs\xDB1CA.tmp
2008-03-29 07:53 177,152 ----a-w C:\WINDOWS\Internet Logs\xDB1C9.tmp
2008-03-27 18:13 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-27 15:47 --------- d-----w C:\Programme\Spiele
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 21:30 421,376 ----a-w C:\WINDOWS\Internet Logs\xDB1C7.tmp
2008-03-19 21:30 3,886,592 ----a-w C:\WINDOWS\Internet Logs\xDB1C8.tmp
2008-03-18 17:15 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-18 17:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-03-16 10:15 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-03-16 10:15 --------- d-----w C:\Programme\Realtek
2008-03-15 13:07 3,860,480 ----a-w C:\WINDOWS\Internet Logs\xDB1C6.tmp
2008-03-14 23:05 262,144 ----a-w C:\WINDOWS\Internet Logs\xDB1C5.tmp
2008-03-14 21:55 2,102,272 ----a-w C:\WINDOWS\Internet Logs\xDB1C4.tmp
2008-03-13 22:21 764,416 ----a-w C:\WINDOWS\Internet Logs\xDB1C3.tmp
2008-03-13 17:21 1,104,896 ----a-w C:\WINDOWS\Internet Logs\xDB1C2.tmp
2008-03-12 21:08 1,585,152 ----a-w C:\WINDOWS\Internet Logs\xDB1C1.tmp
2008-03-09 19:01 74,240 ----a-w C:\WINDOWS\Internet Logs\xDB1BF.tmp
2008-03-09 19:01 3,835,392 ----a-w C:\WINDOWS\Internet Logs\xDB1C0.tmp
2008-03-09 18:44 1,704,960 ----a-w C:\WINDOWS\Internet Logs\xDB1BE.tmp
2008-03-09 10:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-09 09:29 113,664 ----a-w C:\WINDOWS\Internet Logs\xDB1BD.tmp
2008-03-08 22:24 2,048,000 ----a-w C:\WINDOWS\Internet Logs\xDB1BC.tmp
2008-03-08 00:07 1,640,960 ----a-w C:\WINDOWS\Internet Logs\xDB1BB.tmp
2008-03-07 23:54 --------- d-----w C:\Programme\Java
2008-03-06 16:44 1,006,592 ----a-w C:\WINDOWS\Internet Logs\xDB1BA.tmp
2008-03-05 15:03 479,752 ----a-w C:\WINDOWS\system32\XAudio2_0.dll
2008-03-05 15:03 238,088 ----a-w C:\WINDOWS\system32\xactengine3_0.dll
2008-03-05 15:00 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_3.dll
2008-03-05 14:56 3,786,760 ----a-w C:\WINDOWS\system32\D3DX9_37.dll
2008-03-05 14:56 1,420,824 ----a-w C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-05 13:33 360,448 ----a-w C:\WINDOWS\Internet Logs\xDB1B9.tmp
2008-03-04 21:22 1,175,552 ----a-w C:\WINDOWS\Internet Logs\xDB1B8.tmp
2008-03-04 14:08 455,168 ----a-w C:\WINDOWS\Internet Logs\xDB1B6.tmp
2008-03-04 14:08 3,814,912 ----a-w C:\WINDOWS\Internet Logs\xDB1B7.tmp
2008-03-04 11:30 224,768 ----a-w C:\WINDOWS\Internet Logs\xDB1B5.tmp
2008-03-03 23:08 844,800 ----a-w C:\WINDOWS\Internet Logs\xDB1B4.tmp
2008-03-02 23:02 2,757,632 ----a-w C:\WINDOWS\Internet Logs\xDB1B3.tmp
2008-03-01 22:31 2,605,568 ----a-w C:\WINDOWS\Internet Logs\xDB1B2.tmp
2008-03-01 17:09 --------- d-----w C:\Programme\Sicherheit
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 00:15 1,422,848 ----a-w C:\WINDOWS\Internet Logs\xDB1B1.tmp
2008-02-24 17:21 1,039,872 ----a-w C:\WINDOWS\Internet Logs\xDB1B0.tmp
2008-02-24 01:38 1,129,984 ----a-w C:\WINDOWS\Internet Logs\xDB1AF.tmp
2008-02-23 15:39 889,856 ----a-w C:\WINDOWS\Internet Logs\xDB1AE.tmp
2008-02-22 23:07 3,786,240 ----a-w C:\WINDOWS\Internet Logs\xDB1AD.tmp
2008-02-22 23:07 299,520 ----a-w C:\WINDOWS\Internet Logs\xDB1AC.tmp
2008-02-22 21:48 1,123,328 ----a-w C:\WINDOWS\Internet Logs\xDB1AB.tmp
2008-02-21 17:06 3,790,336 ----a-w C:\WINDOWS\Internet Logs\xDB1AA.tmp
2008-02-21 17:06 225,792 ----a-w C:\WINDOWS\Internet Logs\xDB1A9.tmp
2008-02-21 11:09 307,712 ----a-w C:\WINDOWS\Internet Logs\xDB1A8.tmp
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-19 21:40 37,376 ----a-w C:\WINDOWS\Internet Logs\xDB1A7.tmp
2008-02-18 22:31 2,786,304 ----a-w C:\WINDOWS\Internet Logs\xDB1A6.tmp
2008-02-16 23:19 1,569,280 ----a-w C:\WINDOWS\Internet Logs\xDB1A5.tmp
2008-02-16 10:58 96,768 ----a-w C:\WINDOWS\Internet Logs\xDB1A4.tmp
2008-02-16 10:00 261,120 ----a-w C:\WINDOWS\Internet Logs\xDB1A3.tmp
2008-02-15 23:39 80,384 ----a-w C:\WINDOWS\Internet Logs\xDB1A2.tmp
2008-02-15 23:23 2,733,568 ----a-w C:\WINDOWS\Internet Logs\xDB1A1.tmp
2008-02-14 11:05 102,912 ----a-w C:\WINDOWS\Internet Logs\xDB1A0.tmp
2008-02-13 13:31 16,857,600 ----a-w C:\WINDOWS\RTHDCPL.exe
2008-02-12 13:50 3,741,696 ----a-w C:\WINDOWS\Internet Logs\xDB19F.tmp
2008-02-12 13:50 123,392 ----a-w C:\WINDOWS\Internet Logs\xDB19E.tmp
2008-02-11 20:26 74,240 ----a-w C:\WINDOWS\Internet Logs\xDB19D.tmp
2008-02-11 19:13 314,368 ----a-w C:\WINDOWS\Internet Logs\xDB19C.tmp
2008-02-10 19:27 568,832 ----a-w C:\WINDOWS\Internet Logs\xDB19B.tmp
2008-02-09 22:01 2,604,032 ----a-w C:\WINDOWS\Internet Logs\xDB19A.tmp
2008-02-07 22:11 629,248 ----a-w C:\WINDOWS\Internet Logs\xDB199.tmp
2008-02-07 12:17 390,656 ----a-w C:\WINDOWS\Internet Logs\xDB198.tmp
2008-02-05 22:07 462,864 ----a-w C:\WINDOWS\system32\d3dx10_37.dll
2008-02-05 19:51 418,816 ----a-w C:\WINDOWS\Internet Logs\xDB197.tmp
2008-02-04 21:12 221,184 ----a-w C:\WINDOWS\Internet Logs\xDB196.tmp
2008-02-03 20:42 856,064 ----a-w C:\WINDOWS\Internet Logs\xDB195.tmp
2008-02-02 23:19 314,368 ----a-w C:\WINDOWS\Internet Logs\xDB194.tmp
2008-02-02 21:54 797,184 ----a-w C:\WINDOWS\Internet Logs\xDB193.tmp
2008-02-01 22:35 496,128 ----a-w C:\WINDOWS\Internet Logs\xDB192.tmp
2008-02-01 18:49 217,600 ----a-w C:\WINDOWS\Internet Logs\xDB191.tmp
2008-02-01 17:53 38,912 ----a-w C:\WINDOWS\Internet Logs\xDB190.tmp
2008-02-01 16:07 18,487 ----a-w C:\WINDOWS\system32\Ntaccess.sys
2008-02-01 09:19 1,163,264 ----a-w C:\WINDOWS\Internet Logs\xDB18F.tmp
2008-01-28 15:49 3,678,720 ----a-w C:\WINDOWS\Internet Logs\xDB18E.tmp
2008-01-28 15:49 197,120 ----a-w C:\WINDOWS\Internet Logs\xDB18D.tmp
2008-01-27 20:46 3,678,720 ----a-w C:\WINDOWS\Internet Logs\xDB18C.tmp
2008-01-27 20:46 2,648,064 ----a-w C:\WINDOWS\Internet Logs\xDB18B.tmp
2008-01-26 20:03 2,445,824 ----a-w C:\WINDOWS\Internet Logs\xDB18A.tmp
2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 22:03 262401]
"ToolBoxFX"="C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2005-11-21 15:55 45056]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 15:32 278528]
"ZoneAlarm Client"="C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech G3\SetPoint\SetPoint.exe [2007-11-12 20:43:14 692224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk
backup=C:\WINDOWS\pss\Ralink Wireless Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Matthias^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk.disabled]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Matthias^Startmenü^Programme^Autostart^Picture Motion Browser Medien-Prüfung.lnk.disabled]
backup=C:\WINDOWS\pss\Picture Motion Browser Medien-Prüfung.lnk.disabledStartup
d--hs---- 2008-04-21 19:59 0 C:\

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2006-03-24 14:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"RTHDCPL"=RTHDCPL.EXE
"MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"<NO NAME>"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 21:22]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-10-18 18:39]
R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 08:16]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 11:45]
S3 AdWatchDrv;AW Realtime Driver;C:\WINDOWS\system32\drivers\AWRTPD.sys []
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2005-09-20 12:22]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\6.tmp []
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-02-29 19:22:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 20:01:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\6.tmp"
.
Zeit der Fertigstellung: 2008-04-21 20:02:52
ComboFix-quarantined-files.txt 2008-04-21 18:02:45

10 Verzeichnis(se), 258,658,918,400 Bytes frei
14 Verzeichnis(se), 258,858,606,592 Bytes frei

230 --- E O F --- 2008-04-09 19:37:35

 

[Matt]

Was sagt jetzt dieser Bericht aus?? :blink: :scratch: