A022668.exe

D3ardr0n · 07.11.2009, 14:45

hallo und guten tag

also, bei mir kommt ständig diese virenmeldung von "dem Trojanischen Pferd TR/Spy.20480.319"
in der datei A0022668.exe in dem pfad D:\System Volume Information\...\A0022668.exe (werd den noch detailierter beschreiben kann den kompletten im mom nich sehn)

nun ja antivir packt es irgendwie nich den zu löschen und wenn ich in den ordner system volume information reinwill, kommt immer eine zugriff verweigert meldung.

ich würd den gerne loswerden, weil ich demnächst mit online banking anfange und deswegen nen absolut sauberen pc brauch.
gibts vielleicht ne chance den irgedwie wegzubekommen?
aber ohne zu formatieren.

danke schonmal im vorraus.

ReinMan · 07.11.2009, 14:50

Erstell bitte mal ein Logfile von Hijackthis und poste es uns ins Forum.

http://www.chip.de/downloads/HijackThis_13011934.html

Do a System scan and save a Logfile..das Logfile postest du uns hier komplett rein damit wir es uns angucken können.

Alle aktuellen Updates drauf ? scanne mal mit Spybot und Adaware und guck ob du genauere Informationen erhälst oder ob dort noch mehr auf dem Rechner ist.

http://www.chip.de/downloads/SpyBot-..._13001443.html

http://www.chip.de/downloads/Ad-Awar..._38663866.html

**Leonixx** · 07.11.2009, 14:59

Kannst du den Schädling in Quarantäne schicken?

D3ardr0n · 07.11.2009, 23:21

sooo, also spybot sagt nix, ad-aware hat was gefunden aber nich die gesuchte datei bzw der gesuchte trojaner.
mit ad-aware hab ich alles gelöscht.

Zitat:

Zitat von 'Leonixx',index.php?page=Thread&postID=790919#post 790919

Kannst du den Schädling in Quarantäne schicken?

weiss ich nich da ich (wenn ich was mache) grundsätzlich immer nur auf löschen mache....

so, und hier highjacktis logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:28:02, on 08.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\UStorSrv.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\123abc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: D**MON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\D**MON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: UStorage Server Service - OTi - C:\WINXP\system32\UStorSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 1: (no name) - http://card.mygamercard.net/DE/explicide.html

--
End of file - 7856 bytes

(2 verbotene wörter zensiert)

EDIT\\ hab ma eben n neues logfile reingemacht mit umbenannter .exe von highjackthis

ReinMan · 08.11.2009, 07:40

O24 - Desktop Component 1: (no name) - http://card.mygamercard.net/DE/explicide.html

Hast du ne Gamercard für deine PS3 oder Xbox360 ? wenn ja lass den Eintrag wenn nein dann fixx ihn bitte.

Lade dir Combofix und poste das Logfile hier ins Forum, geh am besten nach der Anleitung vor.

http://virus-protect.org/artikel/tools/combofix.html

Geh auf die blau markierte Combofix.exe um es runterzuladen.

Dann lädst du dir noch RSIT runter und postest das Logfile auch hier ins Forum.

http://virus-protect.org/artikel/tools/random.html

Gehst auch auf die blau markierte RANDOM/rsit.exe. lädst es runter und installierst es.

D3ardr0n · 13.11.2009, 20:35

so, hier schonmal combofix

ComboFix 09-11-13.06 - Dano 13.11.2009 21:25.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.618 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Dano\Desktop\ComboFix.exe
AV: Lavasoft Ad-Watch Live! Virenschutz *On-access scanning disabled* (Updated) {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Dano\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Dano\Anwendungsdaten\Desktopicon\eBa yShortcuts.exe
C:\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-13 bis 2009-11-13 ))))))))))))))))))))))))))))))
.

2009-11-13 19:57 . 2009-11-13 19:57 -------- d-----w- c:\programme\CCleaner
2009-11-09 19:56 . 2009-11-09 19:56 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-11-07 23:15 . 2009-11-07 23:15 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-11-07 23:06 . 2009-11-07 23:06 -------- d-sh--w- c:\dokumente und einstellungen\Dano\IETldCache
2009-11-07 23:04 . 2009-10-02 04:44 92160 -c----w- c:\winxp\system32\dllcache\iecompat.dll
2009-11-07 23:04 . 2009-11-13 19:53 -------- d-----w- c:\winxp\ie8updates
2009-11-07 23:04 . 2009-08-29 07:54 12800 -c----w- c:\winxp\system32\dllcache\xpshims.dll
2009-11-07 23:04 . 2009-08-29 07:54 246272 -c----w- c:\winxp\system32\dllcache\ieproxy.dll
2009-11-07 23:02 . 2009-11-07 23:03 -------- dc-h--w- c:\winxp\ie8
2009-11-07 22:50 . 2009-11-07 17:32 15880 ----a-w- c:\winxp\system32\lsdelete.exe
2009-11-07 17:31 . 2009-11-07 17:31 242984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\SBRE.dll
2009-11-07 17:31 . 2009-11-07 17:31 5908024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Resources.dll
2009-11-07 17:31 . 2009-11-07 17:31 327000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-11-07 17:31 . 2009-11-07 17:31 87496 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-11-07 17:31 . 2009-11-07 17:31 933120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\CEAPI.dll
2009-11-07 17:31 . 2009-11-07 17:31 640608 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AutoLaunch.exe
2009-11-07 17:30 . 2009-11-07 17:31 815760 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe
2009-11-07 17:30 . 2009-11-07 17:30 822904 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2009-11-07 17:30 . 2009-11-07 17:30 1638104 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Ad-Aware.exe
2009-11-07 17:30 . 2009-11-07 17:30 788368 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWTray.exe
2009-11-07 17:30 . 2009-11-07 17:30 1179232 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\AAWService.exe
2009-11-07 17:30 . 2009-11-07 17:30 2289688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\ToolBox\LT\HostFileEditor.exe
2009-11-07 17:30 . 2009-11-07 17:30 77616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\i386\sbapifsl.sys
2009-11-07 17:30 . 2009-11-07 17:30 69936 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\i386\sbapifs.sys
2009-11-07 17:30 . 2009-11-07 17:30 13360 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\i386\sbaphd.sys
2009-11-07 17:25 . 2009-09-23 12:55 64288 ----a-w- c:\winxp\system32\drivers\Lbd.sys
2009-11-07 17:23 . 2009-11-07 17:23 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{38AE08A0-4801-4FFF-97C2-E7DCADF74974}
2009-11-07 17:23 . 2009-10-13 21:45 2926024 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{38AE08A0-4801-4FFF-97C2-E7DCADF74974}\Ad-AwareAE_Trial.exe
2009-11-07 17:23 . 2009-11-07 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-11-07 17:23 . 2009-11-07 17:23 -------- d-----w- c:\programme\Lavasoft
2009-11-06 02:14 . 2009-11-06 02:14 41872 ----a-w- c:\winxp\system32\xfcodec.dll
2009-10-31 14:04 . 2009-10-31 14:04 -------- d-----w- c:\dokumente und einstellungen\Dano\Anwendungsdaten\dvdcss
2009-10-31 14:02 . 2005-11-21 05:48 45056 ----a-w- c:\winxp\system32\WNASPI32.DLL
2009-10-31 14:02 . 2005-11-21 05:48 16512 ----a-w- c:\winxp\system32\drivers\ASPI32.SYS
2009-10-31 14:01 . 2009-10-31 14:01 -------- d-----w- c:\programme\ImTOO
2009-10-26 18:48 . 2009-10-26 18:50 -------- d-----w- c:\dokumente und einstellungen\Dano\Anwendungsdaten\U3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-11-13 20:29 . 2009-06-03 10:49 7086112 --sha-w- c:\winxp\system32\drivers\fidbox.dat
2009-11-13 20:14 . 2009-02-21 17:49 -------- d-----w- c:\programme\Xfire
2009-11-13 20:13 . 2009-06-03 10:49 86000 --sha-w- c:\winxp\system32\drivers\fidbox.idx
2009-11-13 20:02 . 2009-02-21 17:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-13 19:53 . 2009-02-21 15:34 -------- d-----w- c:\dokumente und einstellungen\Dano\Anwendungsdaten\Xfire
2009-10-25 20:32 . 2009-02-21 16:05 -------- d-----w- c:\dokumente und einstellungen\Dano\Anwendungsdaten\Apple Computer
2009-10-17 19:36 . 2008-04-14 09:00 80108 ----a-w- c:\winxp\system32\perfc007.dat
2009-10-17 19:36 . 2008-04-14 09:00 448800 ----a-w- c:\winxp\system32\perfh007.dat
2009-10-12 18:48 . 2009-10-12 18:48 -------- d-----w- c:\dokumente und einstellungen\Dano\Anwendungsdaten\Red Kawa
2009-10-11 13:29 . 2009-10-11 13:29 2325342 ----a-w- c:\winxp\Internet Logs\tvDebug.zip
2009-10-10 15:20 . 2009-10-10 15:20 -------- d-----w- c:\programme\Regensoft
2009-10-10 15:20 . 2009-10-10 15:20 -------- d-----w- c:\programme\AviSynth 2.5
2009-10-10 15:20 . 2009-10-10 15:20 -------- d-----w- c:\programme\Red Kawa
2009-10-09 16:22 . 2009-07-04 12:13 -------- d-----w- c:\programme\Unlocker
2009-09-20 15:59 . 2009-02-21 17:40 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-11 14:14 . 2008-04-14 09:00 136704 ----a-w- c:\winxp\system32\msv1_0.dll
2009-09-04 21:03 . 2008-04-14 09:00 58880 ----a-w- c:\winxp\system32\msasn1.dll
2009-08-31 13:22 . 2009-08-31 13:22 717296 ----a-w- c:\winxp\system32\drivers\sptd.sys
2009-08-31 10:13 . 2009-02-21 16:47 92352 ----a-w- c:\dokumente und einstellungen\Dano\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-29 07:54 . 2008-10-16 18:04 916480 ----a-w- c:\winxp\system32\wininet.dll
2009-08-26 08:02 . 2008-12-10 14:32 247326 ----a-w- c:\winxp\system32\strmdll.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2008-04-14 09:00 . 2008-04-14 09:00 94800 --sh--w- c:\winxp\twain.dll
2008-04-14 09:00 . 2008-04-14 09:00 50688 --sh--w- c:\winxp\twain_32.dll
2008-04-14 09:00 . 2008-04-14 09:00 1028096 --sh--w- c:\winxp\system32\mfc42.dll
2008-04-14 09:00 . 2008-04-14 09:00 57344 --sh--w- c:\winxp\system32\msvcirt.dll
2008-04-14 09:00 . 2008-04-14 09:00 413696 --sh--w- c:\winxp\system32\msvcp60.dll
2008-04-14 09:00 . 2008-04-14 09:00 343040 --sh--w- c:\winxp\system32\msvcrt.dll
2008-04-14 09:00 . 2008-04-14 09:00 551936 --sh--w- c:\winxp\system32\oleaut32.dll
2008-04-14 09:00 . 2008-04-14 09:00 84992 --sh--w- c:\winxp\system32\olepro32.dll
2008-04-14 09:00 . 2008-04-14 09:00 12288 --sh--w- c:\winxp\system32\regsvr32.exe
.

------- Sigcheck -------

[-] 2008-12-10 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-12-25 13680640]
"NvMediaCenter"="c:\winxp\system32\NvMcTray.dl l" [2008-12-25 86016]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\j usched.exe" [2009-07-25 149280]
"nwiz"="nwiz.exe" - c:\winxp\system32\nwiz.exe [2008-12-25 1657376]

D3ardr0n · 13.11.2009, 20:36

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Au tostart\
Xfire.lnk - c:\programme\Xfire\Xfire.exe [2009-11-6 3152272]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Dano^Startmenü^Programme^Autostart^X fire.lnk]
path=c:\dokumente und einstellungen\Dano\Startmenü\Programme\Autostart\X fire.lnk
backup=c:\winxp\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Steam\\steamapps\\dano_ich\\counte r-strike source\\hl2.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 DiskSec;Magix Volume Filter Driver;c:\winxp\system32\drivers\disksec.sys [16.02.2009 07:38 14208]
R0 Lbd;Lbd;c:\winxp\system32\drivers\Lbd.sys [07.11.2009 18:25 64288]
R1 Asapi;Asapi;c:\winxp\system32\drivers\asapi.sys [09.05.2009 19:48 11264]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [21.02.2009 17:46 264704]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [24.09.2009 12:17 1179232]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fb server.exe [07.03.2009 15:12 1527900]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - avgio
*Deregistered* - avipbb
*Deregistered* - mbr
*Deregistered* - PROCEXP113
*Deregistered* - ssmdrv
.
Inhalt des "geplante Tasks" Ordners

2009-11-13 c:\winxp\Tasks\Ad-Aware Update (Daily 1).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 17:30]

2009-11-13 c:\winxp\Tasks\Ad-Aware Update (Daily 2).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 17:30]

2009-11-13 c:\winxp\Tasks\Ad-Aware Update (Daily 3).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 17:30]

2009-11-13 c:\winxp\Tasks\Ad-Aware Update (Daily 4).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 17:30]

2009-02-21 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 08:04]

2009-11-13 c:\winxp\Tasks\WGASetup.job
- c:\winxp\system32\KB905474\wgasetup.exe [2009-05-01 17:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Dano\Anwendungsdaten\Mozilla\Firefox \Profiles\nbkjw7ro.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\Dano\Anwendungsdaten\Mozilla\Firefox \Profiles\nbkjw7ro.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - plugin: c:\dokumente und einstellungen\Dano\Anwendungsdaten\Mozilla\Firefox \Profiles\nbkjw7ro.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\programme\GameTap\bin\Release\npgametaptool.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-HijackThis - c:\programme\Trend Micro\HijackThis\HijackThis.exe
AddRemove-Imation Disk Manager V a Service - c:\dokume~1\Dano\LOKALE~1\Temp\Imation Disk Manager V a.exe

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-13 21:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spjj.sys >>UNKNOWN [0x8678D938]<<
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

atapi.sys @ 0x0 0x0 bytes

\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF732FB40 atapi.sys
\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF732FB40 atapi.sys
\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF732FB40 atapi.sys
\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF732FB40 atapi.sys
\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF732FB40 atapi.sys
\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF732FB40 atapi.sys
\Driver\atapi IRP hooks detected !

************************************************** ************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINXP\\sys tem32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2009-11-13 21:31
ComboFix-quarantined-files.txt 2009-11-13 20:31

Vor Suchlauf: 13 Verzeichnis(se), 74.444.464.128 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 74.445.684.736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microso ft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 2AF2573B790612F3E8BA194D2372D2D6

das andere mach ich jetz noch

D3ardr0n · 13.11.2009, 20:41

hier die logs von rsit (denke mal es is sinnvoller die hochzuladen

ach ja und sorry wegen den ganzen posts

Anhang 11315
Anhang 11316

**Leonixx** · 14.11.2009, 18:19

Diese beiden Dateien mal bei Virustotal hochladen und auswerten. Ansonsten sehe ich nichts in den Logfiles.
c:\winxp\system32\lsdelete.exe
C:\WINXP\zip.exe

Hast du jetzt mal den Virus in Quarantäne geschoben?

EliteSoldier2010 · 15.11.2009, 11:09

der von dir beschriebene pfad, verweist auf die systemwiederherstellung. micrososft verbietet dir da auch den zugriff darauf, weil es schwachsinnig wäre wenn man die hinterher noch ändern könnte. das ist selbst bei mir so, das mit admin rechten nicht in die systemwiederherstellungs ordner rein komm. also auf jeden fall rechner mit verschiedenen programmen durchscannen und dann einen neuen syswiederherstellungs erstellen und den alten löschen.

Sie betrachten gerade: A022668.exe

what is imation disc manager v a service