Spybot "neueste Version" lässt sich nicht starten

[hornet99]

Hallo,

Ich kann Spybot nicht starten.
Ein Scan mit etrust hat zweimal den Sober Virus gefunden und entfernt.
Hier ist ein HJT Log nach dem Scan
Danke für die Hilfe
Hubi

>>>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:30, on 03.06.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Management Services\MIS\Mis2Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Aladdin Shared\eToken\etCoreMgr.exe
C:\Programme\Gemeinsame Dateien\Aladdin Shared\eToken\StoreSyncExe.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Symantec\Ghost\ngctw32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\r_server.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\x\Desktop\Fernwartung_FRS.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NGClient] C:\Programme\Symantec\Ghost\ngctw32.exe
O4 - HKLM\..\Run: [eTCoreManager] "C:\Programme\Gemeinsame Dateien\Aladdin Shared\eToken\etCoreMgr.exe"
O4 - HKLM\..\Run: [eTMonitor] "C:\Programme\Gemeinsame Dateien\Aladdin Shared\eToken\StoreSyncExe.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [_WinINet] C:\WINDOWS\ConnectionStatus\services.exe
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AVUS-Center.lnk = C:\Programme\cebacus\avus\avuscenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1212568056687
O16 - DPF: {D7A8EFEE-2F72-4AB0-ACA3-130639B48BDA} (ActiveX_AC.ListView) - http://x.lineos.de/ActiveX/listview.Cab
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Mis2Server - Unknown owner - C:\Programme\Management.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec Ghost Win32 Client-Agent (NGClient) - Symantec Corporation - C:\Programme\Symantec\Ghost\ngctw32.exe
O23 - Service: Netviewer Remote Service (nvRemote_Service) - Unknown owner - C:\Programme\Netviewer\nvRemoteHost.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe
O23 - Service: SD2MUX32 - Unknown owner - c:\SDII\SDII\TRANSBAS\SD2MUX32.EXE (file missing)

--
End of file - 7033 bytes

 

[MisterW]

Hallo,
das klingt danach als wenn der Rechner mit einem Rootkit infiziert wäre. Ich würde Sie bitten einmal mit dem Rootalyzer zu scannen und das Ergebnis hier zu posten:
Der RootAlyzer ist ein Einzelwerkzeug; er untersucht das Dateisystem, die Registrierung und alle Listen, die mit Prozessen zu tun haben. Wenn Sie den RootAlyzer starten, scannt er schnell wenige besonders wichtige Stellen. Auf neuen Rechnern dauert das nur einen Augenblick. Um das ganze System zu scannen, können Sie einen Deep Scan durchführen.
Hier ist der direkte Download Link: http://www.spybotupdates.biz/files/rootalyz-0.3.4.47.zip

Bitte machen Sie einen Deep Scan und kopieren uns das Log.

Gruß,
Markus

 

[hornet99]

RootAlyzer Log

Guten Morgen Markus,

hier ist das Log:

Gruss Hubi

// info: Rootkit removal help file
// copyright: (c) 2008-2009 Safer-Networking Ltd. All rights reserved.

:: RootAlyzer Results
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACcjbpwmtckoptlow.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACdevxhnuyxtewbph.log"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACgpprfxtgqyqmepc.dat"
File:"Hidden file","C:\WINDOWS\SYSTEM32\uacinit.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACirkkpxrxjexufyc.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACjbibxnssavvkdve.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACqmqpmafwootiavr.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACvbwespflnjsqlld.dll"
File:"Invisible to Win32","C:\WINDOWS\Temp\UAC4546.tmp"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACcjbpwmtckoptlow.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACdevxhnuyxtewbph.log"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACgpprfxtgqyqmepc.dat"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\uacinit.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACirkkpxrxjexufyc.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACjbibxnssavvkdve.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACqmqpmafwootiavr.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACvbwespflnjsqlld.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\DRIVERS\UACrscklyxevxfmqpa.sys"
Directory:"No admin in ACL","C:\CPL"
RegyKey:"No admin in ACL","HKEY_LOCAL_MACHINE","\SYSTEM\CurrentControlSet\Services\AKSIFDH\","Parameters"
RegyKey:"No admin in ACL","HKEY_LOCAL_MACHINE","\SYSTEM\ControlSet003\Services\AKSIFDH\","Parameters"
RegyKey:"No admin in ACL","HKEY_LOCAL_MACHINE","\SYSTEM\ControlSet001\Services\AKSIFDH\","Parameters"

 

[MisterW]

Hallo Hubi
Das hatte ich befürchtet, du hast dir ein TDSS-Rootkit eingefangen. Und dazu ein recht heftiges. Versuch bitte mal die SpybotSD.exe in z.B. test.exe umzubennen.
Es kann sein, dass du nicht alle Dateien im Spybotverzeichnis sehen kannst. Evtl musst du erst einschalten, dass dir auch versteckte Dateien und Systemdateien angezeigt werde. Um dies einzustellen klickst du im Explorer oben auf "Extras" -> "Ordneroptionen". Dann wechselst du auf den Tab "Ansicht" und suchst in der Liste nach "Geschützte Systemdateien ausblenden (empfohlen)" und machst dort den Haken weg(!)
Anschließend suchst du in der Liste weiter nach "Alle Dateien und Ordner anzeigen" und setzt da den Haken bzw das ist glaube ich so nen Punkt...

Das TDSS-Rootkit hat die unangenehme Art und Weise, dass es den Start von sämtlichen Schutzprogrammen verhindert. Außerdem ist es für den normalen Benutzer völlig unsichtbar, da es quasi die Anzeige von Windows manipuliert und so die entsprechenden Datein mit Windows Bordmitteln gar nicht gesehen werden können.
Wenn du Spybot dann umbenannt hast, versuch mal diese umbenannte Datei zu starten, das sollte eigentlich klappen. Dann scann mal deinen Rechner und versuch die gefundenen Sachen zu beheben. Anschließend starte bitte deinen Rechner neu und scan nochmal, ob alles weg ist. Wenn nicht bitte Bescheid sagen, dann müssen wir mal schaun wie wir das wieder loswerden

Achso, vielleicht noch zur Erklärung: Man sieht das smit dem Rootkit, weil diese Variante in der Regel mit UAC anfängt und dann eine Reihe von beliebigen Zeichen folgt. ALso all diese UAC DAteien gehören dazu, kannst ja mal zum Spaß im Explorer unter c:\Windows\system32 gucken, du wirst feststellen, die "scheint es gar nicht zu geben"

Gruß,
Markus

 

[hornet99]

Rootkit ist immer noch da

Hallo Markus,
der Tipp mit dem Umbenennen hat funktioniert.
Habe 17 Einträge gefunden und entfernt, aber nach dem Neustart lässt sich Spybot immer noch nicht starten auch nicht wenn es umbenannt wird.
Hab nochmal mit dem Rootalyzer gescannt und folgendes Log bekommen:
Der einzige Unterschied zu vorhin ist der Name im Temp Ordner.
Hab gesehen dass da nur das SP1 drauf ist und bin grad am updaten auf SP2.
Vielleicht ist es besser das System überhaupt neu aufzusetzen?

Gruss Hubi

// info: Rootkit removal help file
// copyright: (c) 2008-2009 Safer-Networking Ltd. All rights reserved.

:: RootAlyzer Results
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACcjbpwmtckoptlow.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACdevxhnuyxtewbph.log"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACgpprfxtgqyqmepc.dat"
File:"Hidden file","C:\WINDOWS\SYSTEM32\uacinit.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACirkkpxrxjexufyc.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACjbibxnssavvkdve.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACqmqpmafwootiavr.dll"
File:"Hidden file","C:\WINDOWS\SYSTEM32\UACvbwespflnjsqlld.dll"
File:"Invisible to Win32","C:\WINDOWS\Temp\UAC4f48.tmp"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACcjbpwmtckoptlow.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACdevxhnuyxtewbph.log"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACgpprfxtgqyqmepc.dat"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\uacinit.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACirkkpxrxjexufyc.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACjbibxnssavvkdve.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACqmqpmafwootiavr.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\UACvbwespflnjsqlld.dll"
File:"Invisible to Win32","C:\WINDOWS\SYSTEM32\DRIVERS\UACrscklyxevxfmqpa.sys"
Directory:"No admin in ACL","C:\CPL"
RegyKey:"No admin in ACL","HKEY_LOCAL_MACHINE","\SYSTEM\CurrentControlSet\Services\AKSIFDH\","Parameters"
RegyKey:"No admin in ACL","HKEY_LOCAL_MACHINE","\SYSTEM\ControlSet003\Services\AKSIFDH\","Parameters"
RegyKey:"No admin in ACL","HKEY_LOCAL_MACHINE","\SYSTEM\ControlSet001\Services\AKSIFDH\","Parameters"

 

[MisterW]

Hallo,
versuch es mal mit dem Tool ComboFix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

 

[Matt]

Schon komisch, wenn Spybot dieses Rootkit nicht entfernen kann... das wert sich wohl sehr dagegen, gelöscht zu werden. :sad:

 

[MisterW]

Ja ziemlich unschönes Teilchen. Sichert sich gegenseitig mehrfach ab :sad:

 

[Matt]

Ja ziemlich unschönes Teilchen. Sichert sich gegenseitig mehrfach ab :sad:

Ich hoffe Spybot 2.0 wird diesbezüglich etwas "aggressiver" gegenüber solche Schädlinge... da muss man radikal vorgehn. :flame:

 

[hornet99]

ComboFix Log

Hallo Markus,
hier das ComboFix Log

ComboFix 09-06-03.04 - x04.06.2009 11:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.288 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\\Desktop\test.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\x\Anwendungsdaten\pcdefender.exe
c:\windows\IE4 Error Log.txt
c:\windows\system32\drivers\UACrscklyxevxfmqpa.sys
c:\windows\system32\kernel.dll
c:\windows\system32\UACcjbpwmtckoptlow.dll
c:\windows\system32\UACdevxhnuyxtewbph.log
c:\windows\system32\UACgpprfxtgqyqmepc.dat
c:\windows\system32\UAChcdacyoxxuwkgdt.log
c:\windows\system32\UAChxwyqwxplxkmxkg.log
c:\windows\system32\uacinit.dll
c:\windows\system32\UACirkkpxrxjexufyc.dll
c:\windows\system32\UACjbibxnssavvkdve.dll
c:\windows\system32\UACqmqpmafwootiavr.dll
c:\windows\system32\UACvbwespflnjsqlld.dll

----- BITS: Eventuell infizierte Webseiten -----

hxxp://loved-online-tube.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_R_SERVER
-------\Service_r_server


((((((((((((((((((((((( Dateien erstellt von 2009-05-04 bis 2009-06-04 ))))))))))))))))))))))))))))))
.

2009-06-04 09:06 . 2009-06-04 09:07 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2009-06-04 08:58 . 2004-08-03 22:57 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-06-04 08:54 . 2009-06-04 08:54 -------- d-----w- c:\windows\ServicePackFiles
2009-06-04 08:51 . 2004-08-03 20:42 15872 ----a-w- c:\windows\system32\spupdsvc.exe
2009-06-04 08:48 . 2009-06-04 08:57 -------- d-----w- c:\windows\EHome
2009-06-03 12:12 . 2009-06-03 12:12 318369 ----a-w- c:\programme\HiJackThis.zip
2009-06-03 12:09 . 2009-06-03 12:09 -------- d-----w- c:\programme\ERUNT
2009-06-03 11:54 . 2009-06-04 08:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-03 10:09 . 2009-06-04 08:43 -------- d-----w- c:\programme\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-04 09:36 . 2006-01-03 17:05 97432 ----a-w- c:\dokumente und einstellungen\x\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-04 09:12 . 2003-11-28 15:30 76332 ----a-w- c:\windows\system32\PERFC007.DAT
2009-06-04 09:12 . 2003-11-28 15:30 419268 ----a-w- c:\windows\system32\PERFH007.DAT
2009-06-04 09:01 . 2002-09-11 11:20 88571 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-06-03 07:07 . 2008-11-03 13:38 -------- d-----w- c:\dokumente und einstellungen\x\Anwendungsdaten\TeamViewer
2009-04-07 12:21 . 2007-11-27 13:28 -------- d-----w- c:\dokumente und einstellungen\x\Anwendungsdaten\carsnooper

.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-04-24 4616192]
"StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]
"DVDSentry"="c:\windows\System32\DSentry.exe" [2003-08-13 28672]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2004-06-25 504080]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-05-21 77824]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-06-24 278528]
"NGClient"="c:\programme\Symantec\Ghost\ngctw32.exe" [2005-12-13 444048]
"eTCoreManager"="c:\programme\Gemeinsame Dateien\Aladdin Shared\eToken\etCoreMgr.exe" [2007-03-12 69632]
"eTMonitor"="c:\programme\Gemeinsame Dateien\Aladdin Shared\eToken\StoreSyncExe.exe" [2007-03-12 73728]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
AVUS-Center.lnk - c:\programme\cebacus\avus\avuscenter.exe [2007-6-28 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Symantec\\Ghost\\ngctw32.exe"=
"c:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"=

R0 GhMon;GhostMountMonitor - Boot Phase Driver;c:\windows\SYSTEM32\DRIVERS\GhMon.sys [29.11.2005 02:35 6560]
R0 GhPostConfig;GhostPostConfig - Boot Phase Driver;c:\windows\SYSTEM32\DRIVERS\ghpcw2k.sys [29.11.2005 02:36 199264]
R2 Mis2Server;Mis2Server;c:\programme\Management Services\MIS\Mis2Server --> c:\programme\Management Services\MIS\Mis2Server [?]
R2 NGClient;Symantec Ghost Win32 Client-Agent;c:\programme\Symantec\Ghost\ngctw32.exe [13.12.2005 17:28 444048]
R3 AKSUP;AKSUP;c:\windows\SYSTEM32\DRIVERS\aksup.sys [06.09.2007 17:01 33712]
R3 eTSCFLT;eToken SmartCard Upper Class Filter Driver;c:\windows\SYSTEM32\DRIVERS\eTSCFLT.sys [27.11.2006 18:20 12720]
S2 GhPostConfig_Auto;GhostPostConfig - Auto Phase Driver;c:\windows\SYSTEM32\DRIVERS\ghpcw2k.sys [29.11.2005 02:36 199264]
S2 SD2MUX32;SD2MUX32;c:\sdii\SDII\TRANSBAS\SD2MUX32.EXE --> c:\sdii\SDII\TRANSBAS\SD2MUX32.EXE [?]
S3 nvRemote_Service;Netviewer Remote Service;c:\programme\Netviewer\nvRemoteHost.exe [03.02.2005 10:21 450208]
.
Inhalt des "geplante Tasks" Ordners

2003-12-06 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job
- c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-29 22:58]

.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-_WinINet - c:\windows\ConnectionStatus\services.exe
HKCU-Run-_WinCheck - c:\windows\ConnectionStatus\Microsoft\services.exe
HKCU-Run-Sonic RecordNow! - (no file)
SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mStart Page = hxxp://www.euro.dell.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone:

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-04 11:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvRemote_Service]
"ImagePath"="c:\programme\Netviewer\nvRemoteHost.exe /startedbyscm:xxx"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mis2Server]
"ImagePath"="c:\programme\Management Services\MIS\Mis2Server"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\eTOKCSP.dll
c:\windows\system32\eTCAPI.dll
c:\windows\system32\eToken.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\lexbces.exE
c:\windows\SYSTEM32\scardsvr.exe
c:\programme\CA\eTrust Antivirus\InoRpc.exe
c:\programme\CA\eTrust Antivirus\InoRT.exe
c:\programme\CA\eTrust Antivirus\InoTask.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Management Services\MIS\mis2server.exe
c:\windows\SYSTEM32\nvsvc32.exe
c:\windows\SYSTEM32\wdfmgr.exe
c:\windows\SYSTEM32\rundll32.exe
c:\programme\iPod\bin\iPodService.exe
c:\dokumente und einstellungen\x\Desktop\Fernwartung_FRS.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-04 11:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-04 09:41

Vor Suchlauf: 28 Verzeichnis(se), 59.415.789.568 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 59.418.402.816 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

191

 

[hornet99]

SpyBot Startet wieder!

Hallo Markus,

hab Spybot nochmal laufen lassen und er hat nichts mehr gefunden.
Ich hoffe das wars dann.
Danke für deine kompetente Hilfe!
Hubi

 

[MisterW]

Das sollte es gewesen sein. Ich meine gesehen zu haben, dass du nur Servicepack 1 auf deinem Windows XP hast. Du solltest Windows Updates mal laufen lassen um alle möglichen Sicherheitslücken zu schließen

Wenn noch Probleme da sind einfach melden

Gruß :rockon:
Markus

 

[hornet99]

Danke

Hallo Markus!

Vielen Dank für die schnelle und kompetente Hilfe!
:thanks:
Die Updates werd ich laufen lassen.

Ich hab mir den Testclient installiert, was macht der eigentlich genau?

 

[raman]

Kleine Info am Rande. Ich habe ein paar persoenliche Dinge aus deinen Reporten editiert.

BTW: Euer Virenschutz sollte mal dringenst erneuert werden. Ein aktuelles AV-PRogramm(fuer gewerbliche Nutzung) sollte noch einige Dinge finden. Da ihr viel Remote Access Tools auf dem Rechner habt, kontrolliere, welches ihr wirklich nutzt. Radmin wurde von Combofix deaktiviert/geloescht!

 

[hornet99]

Welchen Virenscanner

Hallo Ralf,

welchen Scanner würdest du empfehlen?
Sollte das System nicht zu sehr belasten, mit dem CA sind wir sehr zufrieden.
Wir wollten auf die neue Version vom CA AV 8.1 umsteigen.

Gruss
Hubi

 

[MisterW]

Ich möchte an dieser Stelle einmal darauf hinweisen, dass auch Spybot nur für private Zwecke kostenlos ist. Für die gewerbliche Nutzung gibt es eine spezielle Variante die man unter
http://safer-networking.ie/de/index.html
findet! Da ihr ja nun wisst was für einen guten Support und Service wir hier bieten solltet ihr vielleicht mal ernsthaft darüber nachdenken.

Gruß,
Markus

 

[raman]

Es gehoert Erkennungstechnisch nicht zur Spitze, aber es laeuft sauber und erzeugt wenig Fehlalarme.

Ich wuerde mir in deinem Fall, zur Kontrolle, die Antivir bootcd brennen und von dort aus den Rechner starten und pruefen. Allerdings bitte nichts loeschen!
http://board.protecus.de/t23979.htm#298775

Du musst die Funde von Antivir vorher verifizieren, ob es nicht Fehlalarme sind! Das sollte jemand machen, der bei euch im Hause fuer die Rechner zustaendig ist...

Vorher solltest du die Datentraegerbereinigung starten

Nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren), das säubere der Systemwiederherstellung über "weitere Optionen" solltest du in deinem Fall auch nutzen.
http://windowshelp.microsoft.com/Windows/de-DE/help/1264bc24-72a8-48aa-84e3-a355327139d91031.mspx

 

[hornet99]

Corporate Edition

Hallo Leute,

nochmals Danke!
Wegen der Corporate Edition werd ich mit meinem Chef sprechen.
Gruss
Hubi

 

[MisterW]

Sehr gut,
Wenn es fragen bezüglich der Corporate Version gibt, stehe ich gerne zur Verfügung