Hallo
Danke für die Hilfe.
1. Viren: Dldr.Small.aadw ; TR/Agent.htr.243200 (infoSmartSrv.dll) ;
DR/KeyLogger.DQ und ab und zu kommt ein Firewall Bild von XP auf
Englisch und meldet einen Virus. Zum bestätigen ist nur der Button
"Enable" ausgeroutet
2. Ja mein Provider ist Bluewin-Swisscom und die zwei IP-Adressen sind die
DNS Server von Bluewin-Swisscom.
3. Die Datei "C:\Programme\lvtawwc\InfoSmartSrv.dll" habe ich beim
Virustotal hochgeladen, dabei hat der AntirVir reagiert und ich habe den
Zugriff verweigert. Dadurch konnte keine Analyse getätigt werden. Beim
zweiten Mal habe ich beim Hochladen die Datei überschrieben und
gelöscht. Zur Zeit ist er nicht mehr im obenerwähnten Ordner, aber er ist
immer noch irgendwo.
4. Comfix ausgeführt, Logdatei
ComboFix 08-08-08.07 - Jörg Hablützel 2008-08-09 15:37:41.1 - NTFSx86
ausgeführt von:: D:\Virenbekämpfung\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WINDOWS_LOG
((((((((((((((((((((((( Dateien erstellt von 2008-07-09 bis 2008-08-09 ))))))))))))))))))))))))))))))
.
2008-08-09 12:25 . 2008-08-09 12:25 26 --a------ C:\WINDOWS\Lic.xxx
2008-08-09 12:24 . 2004-08-04 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-08-09 12:24 . 2004-08-04 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-08-08 14:35 . 2008-08-08 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwar ebytes
2008-08-08 14:32 . 2008-08-08 14:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-08 14:32 . 2008-08-08 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-08 14:32 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-08 14:32 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 18:23 . 2008-08-07 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-08-07 16:48 . 2008-08-07 16:48 101 --a------ C:\WINDOWS\wininit.ini
2008-08-07 15:55 . 2008-08-07 16:06 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-07 15:49 . 2008-08-07 15:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-07 15:41 . 2008-08-09 15:33 <DIR> d-------- C:\Programme\lvtawwc
2008-08-07 15:40 . 2008-08-09 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jevwrqnk
2008-08-07 11:32 . 2008-08-07 11:32 <DIR> d-------- C:\Dokumente und Einstellungen\Mirjam\OkiData
2008-08-07 11:31 . 2008-08-07 11:31 <DIR> dr------- C:\Dokumente und Einstellungen\Mirjam\Eigene Dateien
2008-08-07 11:08 . 2008-06-10 21:03 679 --a------ C:\WINDOWS\win.tmp
2008-08-07 11:08 . 2006-02-01 11:47 231 --a------ C:\WINDOWS\system.tmp
2008-08-05 17:34 . 2008-08-05 17:34 <DIR> d-------- C:\Programme\Spyware Doctor
2008-08-05 17:32 . 2008-08-05 17:32 <DIR> d-------- C:\Programme\Lavasoft
2008-08-05 17:23 . 2008-08-05 17:23 <DIR> d-------- C:\Temp\Plugins
2008-08-05 17:22 . 2008-08-05 17:22 <DIR> d-------- C:\Programme\AMD
2008-08-05 17:09 . 2008-08-07 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-05 16:44 . 2008-08-05 16:44 <DIR> d-------- C:\Programme\Almeza
2008-08-05 15:53 . 2008-08-05 15:53 <DIR> d-------- C:\Programme\iPod
2008-07-18 12:33 . 2008-07-18 12:33 <DIR> d-------- C:\Programme\Sun
2008-07-17 16:56 . 2008-07-17 16:56 <DIR> d-------- C:\Programme\Safari
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-08-07 17:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-07 15:11 --------- d-----w C:\Programme\TuneUp Utilities 2006
2008-08-06 15:48 --------- d-----w C:\Programme\Apple Software Update
2008-08-05 15:31 --------- d-----w C:\Programme\XPcleanv5
2008-08-05 15:31 --------- d-----w C:\Programme\xp-AntiSpy
2008-08-05 15:28 --------- d-----w C:\Programme\Real Alternative
2008-08-05 15:28 --------- d-----w C:\Programme\Media Player Classic
2008-08-05 15:19 --------- d-----w C:\Programme\Steuer SGnP2006
2008-08-05 15:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-05 14:54 --------- d-----w C:\Programme\Steuer SGnP2007
2008-08-05 13:54 --------- d-----w C:\Programme\iTunes
2008-08-04 14:47 --------- d-----w C:\Programme\Google
2008-07-18 10:33 --------- d-----w C:\Programme\Java
2008-07-17 14:59 --------- d-----w C:\Programme\QuickTime
2008-07-13 15:46 --------- d-----w C:\Programme\Banana40
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-06 11:33 --------- d-----w C:\Programme\Alt WAV MP3 WMA OGG Converter
2008-07-06 11:19 --------- d-----w C:\Programme\Free WMA to MP3 Converter
2008-06-21 09:06 --------- d-----w C:\Programme\Sony Ericsson
2008-06-21 09:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 15:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-13 17:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-05-10 09:25 0 ---ha-w C:\Dokumente und Einstellungen\Mirjam\hpothb07.dat
2008-03-30 15:42 169 ---ha-w C:\Dokumente und Einstellungen\All Users\hpothb07.dat
2008-03-30 15:29 142 ---ha-w C:\Programme\hpothb07.dat
2008-03-02 15:39 255 ---ha-w C:\Programme\hpothb07.tif
2007-09-10 14:44 124 ----a-w C:\Programme\tmcalls.log
2006-12-01 11:23 84,418 -c--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.e xe" [2007-02-05 10:11 476728]
"TomTomHOME.exe"="C:\Programme\TomTom HOME 2\HOMERunner.exe" [2008-05-06 10:42 202088]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"Spyware Doctor"="C:\Programme\Spyware Doctor\swdoctor.exe" [2005-11-24 13:14 1947872]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-30 14:45 1829712]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NVIDIA nTune"="C:\Tools\NVIDIA Corporation\nTune\\nTune.exe" [2004-12-06 13:06 532480]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 7\bin\jusched.exe" [2008-06-10 04:27 144784]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"ISUSPM Startup"="c:\progra~1\gemein~1\instal~1\update~1\i suspm.exe" [2005-02-17 07:15 221184]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-07-17 16:51 266497]
"RealTimeBackup_v2"="C:\Programme\RealTimeBack up v2\RTB_Delayed_Start.exe" [2007-06-22 12:25 49152]
"WD Drive Manager"="C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-01-30 04:50 438272]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 11:20 6803456]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2006-01-17 13:26 135168]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-07-30 10:47 289064]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-06-15 11:20 1519616 C:\WINDOWS\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Spyware Doctor"="C:\Programme\Spyware Doctor\swdoctor.exe" [2005-11-24 13:14 1947872]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
"PcSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
"SsAAD.exe"=C:\PROGRA~1\Sony\SONICS~1\SsAAD.ex e
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.ex e
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"CONNECTScheduler"="C:\Programme\Sony\CONNECTAutoU pdate\CONNECTScheduler.exe" /RUN_SCHEDULER
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\is uspm.exe -startup
"mmtask"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
"PCSuiteTrayApplication"=C:\PROGRA~1\Nokia\NOKIAP~ 1\LAUNCH~1.EXE -startup
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PD VDServ.exe
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Microsoft Virtual PC\\Virtual PC.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\Eigene Dateien\\Steuer 2003\\Steuer 2003.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
"C:\\Programme\\Kazaa Lite\\KazaaLite.kpp"=
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*
isabled:@xpsp2res.dll,-22009
"80:TCP"= 80:TCP:HTTP
"587:TCP"= 587:TCP:E-Mail
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 AmdAcpi;AmdAcpi Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\AmdAcpi.sys [2005-02-14 12:54]
R1 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\amdtools.sys [2005-01-19 11:44]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [2008-01-30 04:52]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbt par.sys [2005-03-14 01:00]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVER S\avmbtser.sys [2005-03-14 01:00]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2005-03-14 01:00]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-03-14 01:00]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2005-03-14 01:00]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sy s [2005-03-14 01:00]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 08:05]
S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfhubase.sys [2005-03-14 01:00]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfp an.sys [2005-03-14 01:00]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2004-04-26 18:11]
S4 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-07-17 16:51]
S4 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-07-17 16:51]
S4 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-07-17 16:51]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{06f8d29f-bfa6-11dc-b4e6-0015f2375697}]
\Shell\AutoRun\command - J:\UFDLaunch.exe
.
Inhalt des "geplante Tasks" Ordners
2008-08-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
2008-08-09 C:\WINDOWS\Tasks\neuer inkrementel.job
- C:\WINDOWS\system32\ntbackup.exe [2004-08-04 14:00]
2008-08-08 C:\WINDOWS\Tasks\Wochensicherung.job
- C:\WINDOWS\system32\ntbackup.exe [2004-08-04 14:00]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKLM-Explorer_Run-1AMM2siHTR - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jevwrqnk\hqpifgnq.exe
SSODL-InfoSmartSrv-{19D600EC-2D3C-02BC-C9CC-04956A82DC71} - C:\Programme\lvtawwc\InfoSmartSrv.dll
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Jörg Hablützel.SANOMI01\Anwendungsdaten\Mozilla\Firefox \Profiles\n8tny98n.default\
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.net
Rootkit scan 2008-08-09 15:44:36
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************** ************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\m chInjDrv]
"ImagePath"="\??\C:\WINDOWS\TEMP\mc22.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\Logitech\SetPoint\lgscroll.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\BRSS01A.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\OPHALDC S.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
C:\Programme\WD\WD Anywhere Backup\MemeoBackup.exe
C:\Programme\RealTimeBackup v2\RealTimeBackup_v2.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2008-08-09 15:50:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-09 13:49:56
Pre-Run: 3,179,143,168 Bytes frei
Post-Run: 3,595,161,600 Bytes frei
234 --- E O F --- 2008-07-09 14:27:16
Diverse Viren etc. 
Linear-Darstellung
