"Mein" Spybot startet auch nicht mehr....

[jekkov]

Hallo Forum,

ich habe soeben festgestellt, dass Spybot nicht mehr startet.
Nach durchlesen eines Threads hier im Forum, soll man also einen eigenen erstellen, um auf evtl. Anweisung eines Members zu handeln.
Mistrauisch wurde ich, als AV folgendes fand:
In der Datei 'C:\DOKUME~1\Udo\LOKALE~1\Temp\Acr5058.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.pta' [exploit] gefunden.
Ausgeführte Aktion: Datei löschen

und dann später noch einmal:
In der Datei 'C:\DOKUME~1\Udo\LOKALE~1\Temp\UACbdf6.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.HB.3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


Ich würde mich freuen, wenn mir hier weitergeholfen werden kann!
Danke im Voraus!
J

 

[raman]

Hallo jekkov,

Aktualisiere bitte Antivir, mache einen Rootkitscan und lasse alle Funde in Quarantaene schieben. Poste den erstellten Bericht, sofern etwas gefunden wurde.

Erstelle und poste bitte einen Gmer Report. Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...

Um Gmer unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die heruntergeladenen Exedatei und "Als Administrator ausfuehren" waehlen.

 

[jekkov]

Hallo Raman,

eine Option für rootkitscan finde ich nix beim AV (Personal) habe bei "extras/bootsektoren prüfen" einen scan gemacht, es wurde nichts gefunden, nur -bei jeder Partition- je 2Warnungen beschrieben.
Werde mich jetzt um einen Gmer Report (für XP) kümmern, danke mal soweit!

Gruss J

 

[raman]

Du nutzt noch die 8er Version von Antivir!?

 

[jekkov]

Ähem....ja?! Ich denke, AV aktualisiert und downloaded die neuesten Versionen immer bei der Meldung "Update"?
Ich bin leider nicht so ein PC-Profi, ich schaff´s zwar immer Probleme zu beseitigen, aber auch nur mit Hilfe von Foren wie dieses hier z.Bleistift! Ansonsten bin ich einfach -->
Dann mach ich mich mal schlau, deine Frage klingt nämlich ganz schön entsetzt überrascht

Anbei die Log-Datei des Scann:

GMER 1.0.15.15020 [x9ub9d7y.exe] - http://www.gmer.net
Rootkit scan 2009-08-16 11:35:18
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code            8A34AD18                                                                                                                      ZwEnumerateKey
Code            8A3518D8                                                                                                                      ZwFlushInstructionCache
Code            8A34AD4E                                                                                                                      IofCallDriver
Code            8A36EE16                                                                                                                      IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!IofCallDriver                                                                                                    804E37C5 5 Bytes  JMP 8A34AD53 
.text           ntoskrnl.exe!IofCompleteRequest                                                                                               804E3BF6 5 Bytes  JMP 8A36EE1B 
PAGE            ntoskrnl.exe!ZwEnumerateKey                                                                                                   80570D64 5 Bytes  JMP 8A34AD1C 
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                                                          80577693 5 Bytes  JMP 8A3518DC 
?               srescan.sys                                                                                                                   Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Microsoft Office\Office12\WINWORD.EXE[3064] kernel32.dll!SetUnhandledExceptionFilter                             7C84495D 5 Bytes  JMP 3260531D C:\Programme\Gemeinsame Dateien\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text           C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!closesocket                                                         71A13E2B 5 Bytes  JMP 100129A0 \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!connect                                                             71A14A07 5 Bytes  JMP 100127E0 \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[3268] WS2_32.dll!send                                                                71A14C27 5 Bytes  JMP 100127C0 \\?\globalroot\systemroot\system32\UACmietmfklxk.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                                      [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                           [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                          [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                                    [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                                      [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                                        [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                             [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                            [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                                       [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                                     [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                           [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                            [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                             [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                              [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                         [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile]                                                               [A7BAE330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                                      [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                                        [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                             [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                            [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                           [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                            [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                                     [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                                       [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                                       [A7BA0CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                                     [A7BA0E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                           [A7BA1320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                            [A7BA11C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile]                                                       [A7B995C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile]                                                               [A7B99770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile]                                                               [A7B992D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT             \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile]                                                                 [A7B99670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\ZoneLabs\vsmon.exe[732] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!GetProcAddress]                    [00342C13] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\WINDOWS\system32\ZoneLabs\vsmon.exe[732] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!UnhandledExceptionFilter]          [00342D34] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\WINDOWS\system32\ZoneLabs\vsmon.exe[732] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!TerminateProcess]                  [00342D03] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe[1752] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!GetProcAddress]            [00352C13] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe[1752] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00352D34] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe[1752] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!TerminateProcess]          [00352D03] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                        avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device          \Driver\Tcpip \Device\Ip                                                                                                      vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Tcp                                                                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device                                                                                                                                        pci.sys (NT-Plug & Play PCI-Enumerator/Microsoft Corporation)
Device                                                                                                                                        atapi.sys (IDE/ATAPI Port Driver/Microsoft Corporation)
Device          \Driver\Tcpip \Device\Udp                                                                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                                                                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                             vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                      avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                                            tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                                 tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                             tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                              tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                             tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
---- Processes - GMER 1.0.15 ----

[COLOR="Red"]Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [124]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [796]                0x02AE0000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [876]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [932]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [948]                0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1008]               0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1128]               0x10000000                                                                                                                                                
Library         \\?\globalroot\systemroot\system32\UACmietmfklxk.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3268]      0x10000000                                                                                                                                                

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\UACajqoqtnehm.sys (*** hidden *** )                                                               [SYSTEM] UACd.sys    [/COLOR]                                                                                                                                      <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys                                                                               
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start                                                                         1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type                                                                          1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath                                                                     \systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group                                                                         file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules                                                                       
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd                                                                  \\?\globalroot\systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc                                                                  \\?\globalroot\systemroot\system32\UACxukvavkufr.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr                                                                \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr                                                                 \\?\globalroot\systemroot\system32\UAClpdwpaknrn.dat
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys (not active ControlSet)                                                           
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@start                                                                             1
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@type                                                                              1
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@imagepath                                                                         \systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys@group                                                                             file system
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules (not active ControlSet)                                                   
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@UACd                                                                      \\?\globalroot\systemroot\system32\drivers\UACajqoqtnehm.sys
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@UACc                                                                      \\?\globalroot\systemroot\system32\UACxukvavkufr.dll
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@uacbbr                                                                    \\?\globalroot\systemroot\system32\UACmietmfklxk.dll
Reg             HKLM\SYSTEM\ControlSet007\Services\UACd.sys\modules@uacsr                                                                     \\?\globalroot\systemroot\system32\UAClpdwpaknrn.dat

---- EOF - GMER 1.0.15 ----

 

[raman]

Den Wechsel von der 8 zur 9 muss man selber machen, aber das koennen wir noch nachschieben...

Der Uebersichthalber erstelle bitte noch ein Hijackthis Report:Ö
Download: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

 

[jekkov]

Tataaa hier isses :euro:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:08, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\dit.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Babylon Translator\babylon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\silma_elmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Software\WWWsicherheit\hj\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R3 - URLSearchHook: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Programme\Wisdom-soft\tbWisd.dll
O1 - Hosts: 192.4.1.200 cmm_1 CMM_1 # controler1
O1 - Hosts: 192.4.1.201 cmm_2 CMM_2 # controler2
O1 - Hosts: 192.4.1.202 cmm_3 CMM_3 # controler3
O1 - Hosts: 192.4.1.203 cmm_4 CMM_4 # controler4
O1 - Hosts: 192.4.1.55 cmmws_1 CMMWS_1 # computer1
O1 - Hosts: 192.4.1.56 cmmws_2 CMMWS_2 # computer2
O1 - Hosts: 192.4.1.57 cmmws_3 CMMWS_3 # computer3
O1 - Hosts: 192.4.1.58 cmmws_4 CMMWS_4 # computer4
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Programme\Wisdom-soft\tbWisd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Programme\Wisdom-soft\tbWisd.dll
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Starter] C:\WINDOWS\System32\STARTER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon Translator\babylon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Verknüpfung mit Printkey.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra 'Tools' menuitem: Locators.com Search Bar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Silma License Manager (SilmaLM) - Unknown owner - C:\WINDOWS\system32\silma_elmd.exe

--
End of file - 8843 bytes

 

[raman]

Gut, eine kleine Frage noch, wozu brauchst du die IP Eintraege in der Hosts Datei?

Wenn sie nicht wichtig sind, deaktiviere Spybots teatimer und dann kannst du Combofix nutzen:


Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

 

[jekkov]

Gut, eine kleine Frage noch, wozu brauchst du die IP Eintraege in der Hosts Datei?

Wie gesagt, ich bin kein Profi, und die Einstellungen des Spybot habe ich vor langer Zeit auf Empfehlung aus (diesem?) Forum gemacht.
Den Scan mit combofix mache ich heut nicht mehr, die Hitze hat mich heut lahmgelegt!
Falls ich noch vorher eine Antwort bekomme: soll ich den scan offline machen, da ich AV deaktivieren soll? Und Spybot kann (bzw. muss) ich ja auch nur komplett abschalten.

Soweit, danke und gut nacht! (wie geht´n schlafsmily?)

 

[jekkov]

(kein) Guten Morgen,
habe soeben den combofix probiert (als test umbenannt) und erst nach mehreren Startversuchen lief er an. Allerdings hat er die Meldung gebracht, das Teatimer und AV noch aktiv sind, obwohl ich beide Prozesse im Taskmanager beendet hatte, nachdem es anders nicht einzustellen war.

Jetzt habe ich combofix abgebrochen und guter Rat ist teuer...

Nachtrag:
ach ja, ich bekomme jetzt bei Hochfahren folgende Spybotmeldung:
Kategorie: Command processor
Änderung: Wert gelöscht
Eintrag: AutoRun

 

[jekkov]

Ok, ich wollte den letzten Beitrag ncohmal ändern, war aber zu spät, hier der letzte Stand:



EGAL, bin genervt und habs nochmal versucht, hat einigermassen funktioniert,
beim Hochfahren war natürlich AV wieder aktiv und brachte einige Funde, den ersten hab ich aus versehen ignoriert, war: In der Datei 'C:\test\N_\26757'
wurde ein Virus oder unerwünschtes Programm 'Eicar-Test-Signature' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Spybot is jetzt nicht mehr in der Schnellstartleiste zu sehen....und ich geh jetz auf die Arbeit.
Hier noch die Log.txt (ICH HOFFE; ICH HABE JETZT JEMANDEN NICHT NOCH MEHR ARBEIT GEMACHT ALS EH SCHON IST....sorry)


ComboFix 09-08-10.06 - Udo 17.08.2009 5:28.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1535.1169 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Udo\Desktop\test.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\programme\MyWay
c:\programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
c:\programme\MyWay\SrchAstt\1.bin\PARTNER.DAT
c:\programme\MyWay\SrchAstt\Cache\files.ini
c:\programme\MyWay\SrchAstt\Settings\prevcfg.htm
c:\windows\Installer\2232e.msp
c:\windows\Installer\5116f.msi
c:\windows\Installer\68c980.msp
c:\windows\regedit.com
c:\windows\system32\drivers\svchost.exe
c:\windows\system32\drivers\UACajqoqtnehm.sys
c:\windows\system32\oledb32.dll
c:\windows\system32\taskmgr.com
c:\windows\system32\tmp.reg
c:\windows\system32\uacinit.dll
c:\windows\system32\UAClpdwpaknrn.dat
c:\windows\system32\UACmietmfklxk.dll
c:\windows\system32\UACxukvavkufr.dll


.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


((((((((((((((((((((((( Dateien erstellt von 2009-07-17 bis 2009-08-17 ))))))))))))))))))))))))))))))
.

2009-08-16 10:32 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-16 10:32 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-16 10:32 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-16 10:32 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-16 10:32 . 2009-08-16 10:32 -------- d-----w- c:\programme\Avira
2009-08-16 10:32 . 2009-08-16 10:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-12 17:03 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 19:36 . 2009-08-17 02:27 2599936 ----a-w- c:\windows\Internet Logs\xDB21.tmp
2009-08-16 07:31 . 2005-05-26 14:12 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-15 20:53 . 2007-07-24 16:33 78188 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-15 20:53 . 2007-07-24 16:33 6223904 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-13 15:03 . 2008-04-18 15:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-05 08:59 . 2004-02-18 15:39 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 2003-04-02 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-04 07:57 286208 ------w- c:\windows\system32\wmpdxm.dll
2009-07-13 13:50 . 2009-07-13 13:37 -------- d-----w- c:\dokumente und einstellungen\Udo\Anwendungsdaten\U3
2009-07-11 13:13 . 2003-04-02 12:00 76072 ----a-w- c:\windows\system32\perfc007.dat
2009-07-11 13:13 . 2003-04-02 12:00 419564 ----a-w- c:\windows\system32\perfh007.dat
2009-07-11 13:08 . 2007-01-14 09:00 6877448 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2009-07-11 10:09 . 2004-02-18 15:09 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-06-30 20:19 . 2005-05-26 14:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-29 18:04 . 2007-01-10 16:09 -------- d-----w- c:\dokumente und einstellungen\Udo\Anwendungsdaten\Skype
2009-06-29 18:02 . 2004-08-17 18:37 -------- d-----w- c:\dokumente und einstellungen\Udo\Anwendungsdaten\MSN6
2009-06-29 15:55 . 2006-06-23 12:27 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-04 07:57 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2003-04-02 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-06-28 20:28 . 2009-06-28 20:28 -------- d-----w- c:\programme\RVS
2009-06-20 07:48 . 2009-06-20 07:48 -------- d-----w- c:\programme\Fischer
2009-06-20 07:47 . 2009-06-20 07:48 724992 ----a-w- c:\windows\iun6002.exe
2009-06-16 14:36 . 2003-04-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2003-04-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2003-04-02 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2003-04-02 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2004-02-18 15:07 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2007-01-26 16:30 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2004-02-18 15:39 1296896 ----a-w- c:\windows\system32\quartz.dll
2000-10-27 08:32 . 2000-10-27 08:32 569856 ------w- c:\programme\msxml3.msm
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{6dfc55bb-bfff-485a-9709-90c3fdf6db58}"= "c:\programme\Wisdom-soft\tbWisd.dll" [2007-07-17 1379352]

[HKEY_CLASSES_ROOT\clsid\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]
2007-07-17 14:59 1379352 ----a-w- c:\programme\Wisdom-soft\tbWisd.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6dfc55bb-bfff-485a-9709-90c3fdf6db58}"= "c:\programme\Wisdom-soft\tbWisd.dll" [2007-07-17 1379352]

[HKEY_CLASSES_ROOT\clsid\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"Babylon Translator"="c:\programme\Babylon Translator\babylon.exe" [1999-11-09 712704]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LWBMOUSE"="c:\programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [2001-11-20 356352]
"LWBKEYBOARD"="c:\programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 371200]
"StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2003-10-22 114741]
"Starter"="c:\windows\System32\STARTER.EXE" [1998-08-26 22528]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-30 136600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-16 282624]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-08-18 4841472]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Name of App"="c:\programme\SAMSUNG\FW LiveUpdate\FWManager.exe" [2008-07-07 675935]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"dit"="dit.exe" - c:\windows\Dit.exe [2002-09-05 69632]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-08-18 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Udo\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=es1371.dll
"midi1"=es1371.dll
"mixer1"=es1371.dll
"aux"=es1371.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.08.2009 12:32 108289]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [09.01.2005 00:09 59520]
R2 rvsport;RVS Virtual COM Port;c:\windows\system32\drivers\RVSPORT.sys [28.06.2009 22:29 38400]
R2 SilmaLM;Silma License Manager;c:\windows\system32\silma_elmd.exe [17.10.2001 14:41 220160]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
S0 Cdr4vsd;Cdr4vsd; [x]
S3 FUS2BASE;FRITZ!Card USB;c:\windows\system32\drivers\fus2base.sys [11.09.2002 02:00 498320]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [09.05.2009 21:42 13224]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [23.10.2006 04:39 71072]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S3 ulisa;DeTeWe ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2007-12-04 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2004-05-11 13:31]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-routcnf - c:\programme\DeTeWe\TA 33 USB\routcnf.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://web.de/
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Udo\Anwendungsdaten\Mozilla\Firefox\Profiles\ksc5bhr1.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 05:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1560)
c:\programme\Windows Media Player\wmpband.dll
c:\programme\Wisdom-soft\tbWisd.dll
c:\programme\Babylon Translator\CAPTLIB.DLL
c:\programme\Browser Mouse\Browser Mouse\1.1\MOUDL32A.DLL
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\DitExp.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\ZoneLabs\vsmon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-17 5:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-17 03:43

Vor Suchlauf: 23 Verzeichnis(se), 14.775.799.808 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 15.635.492.864 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

Current=5 Default=5 Failed=4 LastKnownGood=7 Sets=1,2,3,4,5,7
215 --- E O F --- 2009-08-16 07:42

 

[raman]

Das passt schon. Deinstalliere bitte Combofix via start/ausfuehren. Dort gebe
combofix /u
ein und druecke enter. Aktualisiere bitte Antivir und mache eine Systemueberpruefung.
Ein weiterer Kontrollscan mit Kasperskys Onlinescanner waere hilfreich
http://www.kaspersky.com/de/virusscanner

Sollte noch etwas gefunden werden, poste die entsprechenden Reporte/Funde, sowie ein aktuelles Hijackthis Log.

 

[jekkov]

Hallo raman,

vielen Dank bis hierher, d.h., wir fliegen Fr. in die USA :cowboy: und ich sitze seit 1,5h schon an der Kiste um auf meinem GoPal die Karten zu installieren, komm aber nicht weiter :banghead:
Ich werde also frühestens den kapersky-scan morgen oder in ca. 3Wo. machen.
Spybot scheint auch wieder zu starten.
Frage zu AV, obwohl mir gestern Abend das Programm bestätigte, es sei auf den neuesten Stand, hat es eben unten rechts das Fensterchen hochgefahren, dass die Aktualisierung schon älter als zwei Tage sei, ist das ein bekanntes Softwareproblem?

Danke nochmal für die Unerstützung!
Bis denne!

 

[raman]

Jein, das muessen wir nochmal kontrollieren, wenn du wieder zurueck bist, dazu brauchen wir nochmal combofix...