Virtumonde hat mich infiziert

[H-DGronewold]

Nun möchte ich den Vogel gerne wieder loswerden und da fehlt mir noch das richtige "Penicilin". ich hoffe Ihr könnt mir da helfen, denn ich bin da der DAU und schäme mich nahezu dafür, dass ich fast ohne virtuelles Gummi gesurft bin.

Combofix hab ich eben duchlaufen lassen, ich hoffe das war soweit okay, denn irgendwie wurde es bei jedem Virtumondothread als erstes Posting geschrieben.

Danke im voraus, auch wenn ich nu in Bett gehe und morgen Abend erst wieder am Rechner bin......

Hier das LOG:

ComboFix 08-09-25.03 - Administrator 2008-09-25 21:39:01.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@komtrack[2].txt
C:\WINDOWS\BMd7f72a04.txt
C:\WINDOWS\BMd7f72a04.xml
C:\WINDOWS\system32\rqRkjgEX.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-25 19:44 . 2008-09-25 21:19 318 --a------ C:\WINDOWS\wininit.ini
2008-09-25 19:27 . 2008-09-25 19:30 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-25 19:27 . 2008-09-25 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-25 18:33 . 2008-09-25 18:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-25 18:33 . 2008-09-25 19:09 941,033 ---hs---- C:\WINDOWS\system32\odddyfql.ini
2008-09-25 18:33 . 2008-09-25 18:33 112,128 --a------ C:\WINDOWS\system32\mkfhcd.dll
2008-09-25 18:33 . 2008-09-25 18:33 112,128 --a------ C:\WINDOWS\system32\lxemvcpj.dll
2008-09-25 18:30 . 2008-09-25 18:30 253,952 --------- C:\WINDOWS\system32\qoMccCrr.dll_old
2008-09-25 18:30 . 2008-09-25 21:36 4,080 --ahs---- C:\WINDOWS\system32\rrCccMoq.ini2
2008-09-25 18:30 . 2008-09-25 21:39 4,080 --ahs---- C:\WINDOWS\system32\rrCccMoq.ini
2008-09-25 18:24 . 2008-09-25 18:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-30 21:20 . 2008-08-30 21:20 <DIR> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 20:15 --------- d-----w C:\Programme\Steam
2008-09-25 20:13 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WTablet
2008-09-25 20:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-25 16:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-09-25 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-25 16:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-09-25 16:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-09-23 19:47 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-09-02 06:42 --------- d-----w C:\Programme\LEGO Company
2008-08-24 15:14 --------- d-----w C:\Programme\Apple Software Update
2008-08-24 09:29 --------- d-----w C:\Programme\iTunes
2008-08-24 09:29 --------- d-----w C:\Programme\iPod
2008-08-24 09:28 --------- d-----w C:\Programme\Bonjour
2008-08-16 12:23 --------- d-----w C:\Programme\CDisplay
2008-08-14 20:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-08-11 15:22 --------- d-----w C:\Programme\fc-prints
2008-08-10 11:04 --------- d-----w C:\Programme\DivX
2008-08-09 12:14 --------- d-----w C:\Programme\Java
2008-08-03 12:16 --------- d-----w C:\Programme\QuickTime
2008-07-29 08:43 7,680 ----a-w C:\WINDOWS\system32\uigxnp.dll
2008-07-29 08:43 149,120 ----a-w C:\WINDOWS\system32\drivers\uigxrdr.SYS
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-03-26 12:49 32,768 ----a-w C:\Dokumente und Einstellungen\Cookies\index.dat
.

------- Sigcheck -------

2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df077756-67b9-41d8-941f-9371bf7b103f}]
2008-09-25 18:33 112128 --a------ C:\WINDOWS\system32\mkfhcd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-03-28 1271032]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 909312]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-18 185784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-11-11 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-11-11 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-30 2595616]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-30 909208]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-30 140568]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=mkfhcd.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase Startup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase Startup.lnk
backup=C:\WINDOWS\pss\Suitcase Startup.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 19:04 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2007-08-07 02:05 200704 C:\Programme\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-05-30 15:54 21718312 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Konz\\Steuer-Software\\EP_Konz.exe"=
"C:\\Programme\\Konz\\Steuer-Software\\KonzSteuersoftware.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Konz\\Steuer-Software\\EPUpdate.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-04-12 368544]
R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 149120]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]
R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2006-02-14 5632]
R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2006-11-15 6272]
S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;C:\WINDOWS\system32\DRIVERS\silabenm.sys [2007-06-29 17920]
S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;C:\WINDOWS\system32\DRIVERS\silabser.sys [2007-06-29 58368]
S3 Spyder2;ColorVision Spyder2;C:\WINDOWS\system32\DRIVERS\Spyder2.sys [2007-01-17 12288]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{289b1cce-648b-11dd-a5e1-00508dc40bb2}]
\Shell\AutoRun\command - H:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\rqRkjgEX.dll
BHO-{CA1E4879-13CD-4946-93DD-411213C856F3} - C:\WINDOWS\system32\qoMccCrr.dll
HKLM-Run-BMd7f72a04 - C:\WINDOWS\system32\gkngnpof.dll
HKLM-Run-RAM_DEFRAG - (no file)
ShellExecuteHooks-{C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\rqRkjgEX.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\96b3lma6.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.winamp.com?src=toolbar
FF -: plugin - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 22:15:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\TVersity\Media Server\MediaServer.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 22:19:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-25 20:19:07

Vor Suchlauf: 10 Verzeichnis(se), 19.055.407.104 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 20,907,470,848 Bytes frei

200

 

[raman]

Hallo H-DGronewold,

arbeite bitte folgendes ab:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

http://forums.spybot.info/showthread.php?p=237923
collect::
C:\WINDOWS\system32\mkfhcd.dll
C:\WINDOWS\system32\lxemvcpj.dll
C:\WINDOWS\system32\qoMccCrr.dll_old


file::
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\odddyfql.ini
C:\WINDOWS\system32\rrCccMoq.ini2
C:\WINDOWS\system32\rrCccMoq.ini

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df077756-67b9-41d8-941f-9371bf7b103f}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"=""

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

 

[H-DGronewold]

hmmmhh.....

Hi, also nach dem Scan ging keine notificationbox auf und der browser hat sich auch nicht geöffnet. Hier aber das Log – BTW ich habe den Combofix vorher geupdatet, was das falsch?

Log:

ComboFix 08-09-25.06 - Administrator 2008-09-26 16:19:15.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.578 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\system32\odddyfql.ini
C:\WINDOWS\system32\rrCccMoq.ini
C:\WINDOWS\system32\rrCccMoq.ini2
C:\WINDOWS\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lxemvcpj.dll
C:\WINDOWS\system32\mkfhcd.dll
C:\WINDOWS\system32\odddyfql.ini
C:\WINDOWS\system32\qoMccCrr.dll_old
C:\WINDOWS\system32\rrCccMoq.ini
C:\WINDOWS\system32\rrCccMoq.ini2
C:\WINDOWS\wininit.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-26 bis 2008-09-26 ))))))))))))))))))))))))))))))
.

2008-09-25 19:27 . 2008-09-25 19:30 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-25 19:27 . 2008-09-25 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-25 18:33 . 2008-09-25 18:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-25 18:24 . 2008-09-25 18:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-30 21:20 . 2008-08-30 21:20 <DIR> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-26 14:23 --------- d-----w C:\Programme\Steam
2008-09-26 14:21 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WTablet
2008-09-26 14:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-25 16:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-09-25 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-25 16:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-09-25 16:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-09-23 19:47 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-09-02 06:42 --------- d-----w C:\Programme\LEGO Company
2008-08-24 15:14 --------- d-----w C:\Programme\Apple Software Update
2008-08-24 09:29 --------- d-----w C:\Programme\iTunes
2008-08-24 09:29 --------- d-----w C:\Programme\iPod
2008-08-24 09:28 --------- d-----w C:\Programme\Bonjour
2008-08-16 12:23 --------- d-----w C:\Programme\CDisplay
2008-08-14 20:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-08-11 15:22 --------- d-----w C:\Programme\fc-prints
2008-08-10 11:04 --------- d-----w C:\Programme\DivX
2008-08-09 12:14 --------- d-----w C:\Programme\Java
2008-08-03 12:16 --------- d-----w C:\Programme\QuickTime
2008-07-29 08:43 7,680 ----a-w C:\WINDOWS\system32\uigxnp.dll
2008-07-29 08:43 149,120 ----a-w C:\WINDOWS\system32\drivers\uigxrdr.SYS
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-03-26 12:49 32,768 ----a-w C:\Dokumente und Einstellungen\Cookies\index.dat
.

------- Sigcheck -------

2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-03-28 1271032]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 909312]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-18 185784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-11-11 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-11-11 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-11-11 455168]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-30 2595616]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-30 909208]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-30 140568]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase Startup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase Startup.lnk
backup=C:\WINDOWS\pss\Suitcase Startup.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 19:04 139264 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2007-08-07 02:05 200704 C:\Programme\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-05-30 15:54 21718312 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Konz\\Steuer-Software\\EP_Konz.exe"=
"C:\\Programme\\Konz\\Steuer-Software\\KonzSteuersoftware.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Konz\\Steuer-Software\\EPUpdate.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-04-12 368544]
R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 149120]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-10-30 492720]
R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2006-02-14 5632]
R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2006-11-15 6272]
S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;C:\WINDOWS\system32\DRIVERS\silabenm.sys [2007-06-29 17920]
S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;C:\WINDOWS\system32\DRIVERS\silabser.sys [2007-06-29 58368]
S3 Spyder2;ColorVision Spyder2;C:\WINDOWS\system32\DRIVERS\Spyder2.sys [2007-01-17 12288]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{289b1cce-648b-11dd-a5e1-00508dc40bb2}]
\Shell\AutoRun\command - H:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-26 16:23:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\ColorVision\Utility\ColorVisionStartup.exe
C:\Programme\TVersity\Media Server\MediaServer.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-26 16:26:50 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-09-26 14:26:40
ComboFix2.txt 2008-09-25 20:19:16

Vor Suchlauf: 10 Verzeichnis(se), 20.977.872.896 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 20,964,388,864 Bytes frei

185

 

[raman]

Das Update von Combofix war schon in Ordnung. Neuer kann nie schaden, aber warum das mit dem Versenden nicht funktioniert hat muss ich noch mal genauer austesten...

Dateitechnisch scheinst du nun wieder sauber zu sein.
Deinstalliere Combofix ueber Start Ausfuehren, indem du dort
combofix /u
eingibst und enter drueckst.
Nutze nun die mit Windows gelieferte Datenträgerbereinigung(alles anhaken außer alte Dateien komprimieren) und saeubere die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Dann bitte noch ein Kontrollscan mit Drweb Cureit:
http://freedrweb.com/

Sollte das ebenfalls keine Funde anzeigen , aktualisiere dein Windows ueber www.windowsupdate.com und lasse alle wichtigen Updates installieren. Wiederhole das so oft, bis dir keine wichtigen Updates mehr angeboten werden.

sollte das

 

[H-DGronewold]

So......

So, Combofix ist runter, Dr. Web Virenscan zeigt keine Meldungen, FF zeigt kein merkwürdiges Verhalten mehr an und ich scheine das kleine Drecksding loszusein.

Vielen Dank für die schnelle und DAU gerechte Hilfe. Ich bin begeistert.

Danke und Dir Ralf und dem ganzen Team ein schönes Wochenende