Tr/bho.tf

[K.Karl]

Hallo,

hier der Systemscan von Antivira:

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 25. November 2008  20:41

Es wird nach 1051616 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     DRAGO-9A4E10279

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 12:24:50
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  07.08.2008 15:50:37
LUKE.DLL      : 8.1.4.5       164097 Bytes  07.08.2008 15:50:37
LUKERES.DLL   : 8.1.4.0        12545 Bytes  07.08.2008 15:50:37
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 17:43:35
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 19:17:55
ANTIVIR2.VDF  : 7.1.0.124     376832 Bytes  23.11.2008 09:37:26
ANTIVIR3.VDF  : 7.1.0.134      88576 Bytes  25.11.2008 12:24:50
Engineversion : 8.2.0.35  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  15.10.2008 16:24:17
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  11.11.2008 19:20:17
AESCN.DLL     : 8.1.1.5       123251 Bytes  07.11.2008 19:17:53
AERDL.DLL     : 8.1.1.3       438645 Bytes  06.11.2008 18:55:59
AEPACK.DLL    : 8.1.3.4       393591 Bytes  11.11.2008 19:20:17
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  07.11.2008 19:17:52
AEHEUR.DLL    : 8.1.0.71     1487222 Bytes  07.11.2008 19:17:52
AEHELP.DLL    : 8.1.2.0       119159 Bytes  18.11.2008 19:18:58
AEGEN.DLL     : 8.1.1.5       323956 Bytes  21.11.2008 19:19:47
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 16:24:02
AECORE.DLL    : 8.1.5.1       172406 Bytes  21.11.2008 19:19:46
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 16:23:57
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  07.08.2008 15:50:37
AVPREF.DLL    : 8.0.2.0        38657 Bytes  07.08.2008 15:50:37
AVREP.DLL     : 8.0.0.2        98344 Bytes  07.08.2008 15:48:00
AVREG.DLL     : 8.0.0.1        33537 Bytes  07.08.2008 15:50:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  07.08.2008 15:50:37
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  07.08.2008 15:50:37
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  07.08.2008 15:50:35
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  07.08.2008 15:50:35

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: p:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, P:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 25. November 2008  20:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'P:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '46' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System(XP)>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{878AC3A3-0E30-44DA-B561-DFE0848E4358}\RP1\A0000028.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495c568e.qua' verschoben!
Beginne mit der Suche in 'D:\' <Eigene Dateien>
D:\My Music\Sha Ila\SHAILA.part2.rar
    [0] Archivtyp: RAR
    --> SHA ILA\Sha-Ila - Molitva.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\My Music\Sha Ila\SHAILA.part3.rar
    [0] Archivtyp: RAR
    --> SHA ILA\Sha-Ila - Zmija.mp3
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'P:\' <Programme>


Ende des Suchlaufs: Dienstag, 25. November 2008  21:29
Benötigte Zeit: 47:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  10389 Verzeichnisse wurden überprüft
 313671 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 313669 Dateien ohne Befall
   1903 Archive wurden durchsucht
      7 Warnungen
      1 Hinweise

und hier der Log Report von ComboFix:

Code:

ComboFix 08-11-24.03 - Drago 2008-11-25 20:26:29.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Drago\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


(((((((((((((((((((((((   Dateien erstellt von 2008-10-25 bis 2008-11-25  ))))))))))))))))))))))))))))))
.

2008-11-24 21:59 . 2008-11-24 21:59	<DIR>	d--------	p:\programme\Trend Micro
2008-11-24 21:55 . 2008-11-24 21:55	<DIR>	d--------	C:\!KillBox
2008-11-24 21:00 . 2008-11-24 22:19	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\.housecall6.6
2008-11-24 19:18 . 2008-11-24 19:32	<DIR>	d--------	p:\programme\Security Task Manager
2008-11-24 19:18 . 2008-11-24 19:25	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-11-23 21:34 . 2004-08-10 13:00	1,875,968	--a--c---	c:\windows\system32\dllcache\msir3jp.lex
2008-11-23 21:33 . 2004-08-10 13:00	13,463,552	--a--c---	c:\windows\system32\dllcache\hwxjpn.dll
2008-11-23 21:32 . 2004-08-10 13:00	847,360	--a--c---	c:\windows\system32\dllcache\inetmgr.dll
2008-11-23 21:29 . 2004-08-10 13:00	4,293,632	--a--c---	c:\windows\system32\dllcache\wmm2res.dll
2008-11-23 21:28 . 2004-08-10 13:00	2,532,864	--a--c---	c:\windows\system32\dllcache\msoeres.dll
2008-11-23 21:26 . 2004-08-10 13:00	2,178,131	--a--c---	c:\windows\system32\dllcache\shvlres.dll
2008-11-23 21:21 . 2004-08-10 13:00	1,896,083	--a--c---	c:\windows\system32\dllcache\NT5.CAT
2008-11-23 20:47 . 2008-04-13 20:41	8,576	--a------	c:\windows\system32\drivers\i2omgmt.VIR
2008-11-23 18:43 . 2008-11-23 18:43	5,120	--ahs----	c:\windows\system32\Thumbs.db
2008-11-22 11:45 . 2008-11-22 11:45	<DIR>	d--------	c:\windows\Logs
2008-11-22 10:12 . 2008-11-22 11:47	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sports Interactive
2008-11-14 14:13 . 2008-11-14 14:13	<DIR>	d--------	p:\programme\iTunes
2008-11-14 14:13 . 2008-11-14 14:13	<DIR>	d--------	p:\programme\iPod
2008-11-14 14:13 . 2008-11-14 14:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-14 14:11 . 2008-11-14 14:11	<DIR>	d--------	p:\programme\Bonjour
2008-11-12 22:17 . 2008-11-12 22:17	<DIR>	d--------	p:\programme\NOS
2008-11-12 22:17 . 2008-11-12 22:17	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-04 20:08 . 2008-11-04 20:08	<DIR>	d--------	p:\programme\Dexpot
2008-11-04 15:01 . 2008-11-14 14:08	54,156	--ah-----	c:\windows\QTFont.qfn
2008-11-04 15:01 . 2008-11-04 15:01	1,409	--a------	c:\windows\QTFont.for
2008-11-03 14:09 . 2008-11-03 14:09	268	--ah-----	C:\sqmdata04.sqm
2008-11-03 14:09 . 2008-11-03 14:09	244	--ah-----	C:\sqmnoopt04.sqm

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 19:32	14,770,208	--sha-w	c:\windows\system32\drivers\fidbox.dat
2008-11-25 19:31	4,292,363	----a-w	c:\windows\Internet Logs\tvDebug.zip
2008-11-25 19:30	178,220	--sha-w	c:\windows\system32\drivers\fidbox.idx
2008-11-25 19:15	13,312	--sha-w	p:\programme\Thumbs.db
2008-11-25 16:56	---------	d-----w	c:\dokumente und einstellungen\Ivana\Anwendungsdaten\Skype
2008-11-24 19:51	---------	d-----w	p:\programme\XPcleanv5
2008-11-24 19:13	19,925,266	----a-w	c:\windows\Internet Logs\vsmon_on_demand_2008_11_24_19_50_29_full.dmp.zip
2008-11-24 19:13	19,919,361	----a-w	c:\windows\Internet Logs\vsmon_on_demand_2008_11_24_19_53_20_full.dmp.zip
2008-11-24 18:53	9,216	----a-w	c:\windows\Internet Logs\xDB11.tmp
2008-11-24 18:52	16,384	----a-w	c:\windows\Internet Logs\xDBF.tmp
2008-11-24 18:52	1,722,880	----a-w	c:\windows\Internet Logs\xDB10.tmp
2008-11-24 18:50	25,088	----a-w	c:\windows\Internet Logs\xDBE.tmp
2008-11-24 18:48	1,722,368	----a-w	c:\windows\Internet Logs\xDBD.tmp
2008-11-24 18:40	24,064	----a-w	c:\windows\Internet Logs\xDBB.tmp
2008-11-24 18:40	1,721,856	----a-w	c:\windows\Internet Logs\xDBC.tmp
2008-11-24 18:37	135,168	----a-w	c:\windows\Internet Logs\xDB9.tmp
2008-11-24 18:37	1,727,488	----a-w	c:\windows\Internet Logs\xDBA.tmp
2008-11-24 16:51	87,552	----a-w	c:\windows\Internet Logs\xDB7.tmp
2008-11-24 16:51	1,718,784	----a-w	c:\windows\Internet Logs\xDB8.tmp
2008-11-24 16:16	1,716,224	----a-w	c:\windows\Internet Logs\xDB6.tmp
2008-11-24 15:52	1,715,712	----a-w	c:\windows\Internet Logs\xDB5.tmp
2008-11-24 15:50	2,973,696	----a-w	c:\windows\Internet Logs\xDB3.tmp
2008-11-24 15:50	1,716,224	----a-w	c:\windows\Internet Logs\xDB4.tmp
2008-11-23 20:58	---------	d-----w	p:\programme\Sports Interactive
2008-11-23 20:55	---------	d-----w	p:\programme\eMule
2008-11-23 20:55	---------	d-----w	c:\dokumente und einstellungen\Drago\Anwendungsdaten\Skype
2008-11-23 20:20	---------	d-----w	p:\programme\Google
2008-11-23 19:48	1,720,320	----a-w	c:\windows\Internet Logs\xDB2.tmp
2008-11-23 19:20	---------	d-----w	c:\dokumente und einstellungen\Drago\Anwendungsdaten\Sports Interactive
2008-11-23 19:18	---------	d-----w	p:\programme\Windows Media Connect 2
2008-11-23 19:18	---------	d-----w	p:\programme\GameSpy Arcade
2008-11-23 19:18	---------	d-----w	p:\programme\Devices
2008-11-23 19:14	---------	d-----w	c:\dokumente und einstellungen\Drago\Anwendungsdaten\BearShare
2008-11-18 21:06	139,664	----a-w	c:\windows\system32\drivers\PnkBstrK.sys
2008-11-18 21:05	111,928	----a-w	c:\windows\system32\PnkBstrB.exe
2008-11-14 13:11	---------	d-----w	p:\programme\QuickTime
2008-11-12 20:40	---------	d-----w	p:\programme\Gemeinsame Dateien\Adobe
2008-11-05 20:18	---------	d-----w	p:\programme\Winamp
2008-11-05 20:17	---------	d-----w	c:\dokumente und einstellungen\Drago\Anwendungsdaten\Winamp
2008-11-04 14:01	---------	d-----w	c:\dokumente und einstellungen\Ivana\Anwendungsdaten\Apple Computer
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-26 17:47	1,540,096	----a-w	c:\windows\Internet Logs\xDB1.tmp
2008-09-10 01:13	1,307,648	----a-w	c:\windows\system32\msxml6.dll
2008-08-29 09:18	87,336	----a-w	c:\windows\system32\dns-sd.exe
2008-08-29 08:53	61,440	----a-w	c:\windows\system32\dnssd.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-16 7323648]
"FreePDF Assistant"="p:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"avgnt"="p:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-07 266497]
"ZoneAlarm Client"="p:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoCAD-Startbeschleuniger.lnk]
backup=c:\windows\pss\AutoCAD-Startbeschleuniger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 p:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-10 13:00 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-08-05 12:34 64512 c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hofer Foto Service]
--a------ 2007-03-19 12:33 1167360 p:\programme\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hofer_FotoSuite_Download]
--a------ 2007-03-19 12:33 1167360 p:\programme\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 p:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-10-25 15:33 563984 p:\programme\gemeinsame dateien\logishrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-10-25 15:37 2178832 p:\programme\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 03:22 1695232 p:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-10-18 10:34 5724184 p:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia.PCSync]
--a------ 2008-03-26 17:41 1232896 p:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-06-16 09:39 7323648 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
--a------ 2008-03-28 10:20 1079296 p:\programme\Nokia\Nokia PC Suite 6\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 p:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 03:25 144784 p:\programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-04-03 20:04 185896 p:\programme\gemeinsame dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 p:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
--a------ 2006-03-20 16:00 282624 c:\windows\stsystra.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI 1.33 deutsch]
--a------ 2000-10-06 23:13 106544 c:\windows\system32\tweakui.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"p:\\Programme\\FlashFXP\\FlashFXP.exe"=
"p:\\Programme\\eMule\\emule.exe"=
"p:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"p:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"p:\\Programme\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"p:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"p:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=
"p:\\Programme\\Messenger\\msmsgs.exe"=
"p:\\Programme\\Bonjour\\mDNSResponder.exe"=
"p:\\Programme\\iTunes\\iTunes.exe"=
"p:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"p:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"p:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)
"56783:TCP"= 56783:TCP:emule_TCP
"60114:UDP"= 60114:UDP:emule_UDP
"8767:UDP"= 8767:UDP:TeamSpeak

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

S3 getPlus(R) Helper;getPlus(R) Helper;p:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-11-12 33752]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;c:\windows\system32\svchost.exe -k p2psvc [2004-08-10 14336]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;c:\windows\system32\svchost.exe -k p2psvc [2004-08-10 14336]
S3 p2psvc;Peernetzwerk;c:\windows\system32\svchost.exe -k p2psvc [2004-08-10 14336]
S3 PNRPSvc;Peer Name Resolution-Protokoll;c:\windows\system32\svchost.exe -k p2psvc [2004-08-10 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-25 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- p:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeUpdater - c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
MSConfigStartUp-AVP - p:\programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Drago\Anwendungsdaten\Mozilla\Firefox\Profiles\tp1hcfkm.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.at/
FF -: plugin - p:\programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 20:31:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
p:\programme\gemeinsame dateien\logishrd\LVMVFM\LVPrcSrv.exe
p:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
p:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
p:\programme\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\ehome\ehSched.exe
p:\programme\gemeinsame dateien\logishrd\LVCOMSER\LVComSer.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
p:\programme\gemeinsame dateien\logishrd\LVCOMSER\LVComSer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 20:34:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-25 19:34:15

Vor Suchlauf: 21 Verzeichnis(se), 18.813.153.280 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 19,056,275,456 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

243	--- E O F ---	2008-11-12 13:02:25

Ich habe außerdem folgende Dateien bereits in der Qurantäne:
C:\System Volume Information\_restore{878AC3A3-0E30-44DA-B561-DFE0848E4358}\RP1\A0000028.sys
C:\Windows\System32\drivers\fdc.sys
C:\Windows\System32\drivers\dmload.sys
C:\Windows\System32\drivers\Changer.sys

hier das Ergebnis von VirusTotal zu den Dateien:

Code:

Datei A0000028.sys empfangen 2008.11.25 21:46:24 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	-
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.24	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	-
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
eTrust-Vet	31.6.6227	2008.11.25	-
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
F-Secure	8.0.14332.0	2008.11.25	-
Fortinet	3.117.0.0	2008.11.25	-
GData	19	2008.11.25	Rootkit.Agent.WI
Ikarus	T3.1.1.45.0	2008.11.25	-
K7AntiVirus	7.10.533	2008.11.25	-
Kaspersky	7.0.0.125	2008.11.25	-
McAfee	5445	2008.11.25	-
McAfee+Artemis	5445	2008.11.25	-
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
Norman	5.80.02	2008.11.25	-
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
Sophos	4.35.0	2008.11.25	-
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.162	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN
VBA32	3.12.8.9	2008.11.25	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.25	-
weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x240 0x470f 0x4720 7.99 a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata 0x4960 0x43fc 0x4400 7.96 bf0ba0d8176f50616c46b29020361e7b<br>.data 0x8d60 0xfc 0x100 4.78 d114fba2d10dc52fc40837ee781164e0<br>INIT 0x8e60 0x6d8 0x6e0 7.89 659877c7adc0c5e1eb25376999caf005<br>.reloc 0x9540 0x1180 0x1180 7.46 b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports ) <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Antivirus	Version	letzte aktualisierung	Ergebnis
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.24	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
GData	19	2008.11.25	Rootkit.Agent.WI
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN

weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>.text        0x240    0x470f    0x4720   7.99  a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata      0x4960    0x43fc    0x4400   7.96  bf0ba0d8176f50616c46b29020361e7b<br>.data       0x8d60      0xfc     0x100   4.78  d114fba2d10dc52fc40837ee781164e0<br>INIT        0x8e60     0x6d8     0x6e0   7.89  659877c7adc0c5e1eb25376999caf005<br>.reloc      0x9540    0x1180    0x1180   7.46  b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports )  <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Code:

Datei Changer.sys empfangen 2008.11.25 22:22:38 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	-
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.25	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	-
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
eTrust-Vet	31.6.6227	2008.11.25	-
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
Fortinet	3.117.0.0	2008.11.25	-
GData	19	2008.11.25	Rootkit.Agent.WI
Ikarus	T3.1.1.45.0	2008.11.25	-
K7AntiVirus	7.10.533	2008.11.25	-
Kaspersky	7.0.0.125	2008.11.25	-
McAfee	5445	2008.11.25	-
McAfee+Artemis	5445	2008.11.25	-
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
Norman	5.80.02	2008.11.25	-
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
Sophos	4.35.0	2008.11.25	-
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.163	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN
VBA32	3.12.8.9	2008.11.25	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.25	-
weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x240 0x470f 0x4720 7.99 a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata 0x4960 0x43fc 0x4400 7.96 bf0ba0d8176f50616c46b29020361e7b<br>.data 0x8d60 0xfc 0x100 4.78 d114fba2d10dc52fc40837ee781164e0<br>INIT 0x8e60 0x6d8 0x6e0 7.89 659877c7adc0c5e1eb25376999caf005<br>.reloc 0x9540 0x1180 0x1180 7.46 b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports ) <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Antivirus	Version	letzte aktualisierung	Ergebnis
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.25	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
GData	19	2008.11.25	Rootkit.Agent.WI
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN

weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>.text        0x240    0x470f    0x4720   7.99  a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata      0x4960    0x43fc    0x4400   7.96  bf0ba0d8176f50616c46b29020361e7b<br>.data       0x8d60      0xfc     0x100   4.78  d114fba2d10dc52fc40837ee781164e0<br>INIT        0x8e60     0x6d8     0x6e0   7.89  659877c7adc0c5e1eb25376999caf005<br>.reloc      0x9540    0x1180    0x1180   7.46  b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports )  <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Code:

Datei dmload.sys empfangen 2008.11.25 22:26:33 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	-
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.25	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	-
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
eTrust-Vet	31.6.6227	2008.11.25	-
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
Fortinet	3.117.0.0	2008.11.25	-
GData	19	2008.11.25	Rootkit.Agent.WI
Ikarus	T3.1.1.45.0	2008.11.25	-
K7AntiVirus	7.10.533	2008.11.25	-
Kaspersky	7.0.0.125	2008.11.25	-
McAfee	5445	2008.11.25	-
McAfee+Artemis	5445	2008.11.25	-
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
Sophos	4.35.0	2008.11.25	-
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.163	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN
VBA32	3.12.8.9	2008.11.25	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.25	-
weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x240 0x470f 0x4720 7.99 a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata 0x4960 0x43fc 0x4400 7.96 bf0ba0d8176f50616c46b29020361e7b<br>.data 0x8d60 0xfc 0x100 4.78 d114fba2d10dc52fc40837ee781164e0<br>INIT 0x8e60 0x6d8 0x6e0 7.89 659877c7adc0c5e1eb25376999caf005<br>.reloc 0x9540 0x1180 0x1180 7.46 b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports ) <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Antivirus	Version	letzte aktualisierung	Ergebnis
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.25	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
GData	19	2008.11.25	Rootkit.Agent.WI
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN

weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>.text        0x240    0x470f    0x4720   7.99  a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata      0x4960    0x43fc    0x4400   7.96  bf0ba0d8176f50616c46b29020361e7b<br>.data       0x8d60      0xfc     0x100   4.78  d114fba2d10dc52fc40837ee781164e0<br>INIT        0x8e60     0x6d8     0x6e0   7.89  659877c7adc0c5e1eb25376999caf005<br>.reloc      0x9540    0x1180    0x1180   7.46  b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports )  <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Code:

Datei fdc.sys empfangen 2008.11.25 22:32:19 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.24.3	2008.11.25	-
AntiVir	7.9.0.35	2008.11.25	TR/Rootkit.Gen
Authentium	5.1.0.4	2008.11.25	W32/STZ_like!Generic
Avast	4.8.1281.0	2008.11.25	Win32:Agent-AABX
AVG	8.0.0.199	2008.11.25	I-Worm/Nulprot.W
BitDefender	7.2	2008.11.25	Rootkit.Agent.WI
CAT-QuickHeal	10.00	2008.11.25	-
ClamAV	0.94.1	2008.11.25	-
DrWeb	4.44.0.09170	2008.11.25	Trojan.Packed.142
eSafe	7.0.17.0	2008.11.25	Suspicious File
eTrust-Vet	31.6.6227	2008.11.25	-
Ewido	4.0	2008.11.25	-
F-Prot	4.4.4.56	2008.11.25	W32/STZ_like!Generic
F-Secure	8.0.14332.0	2008.11.25	-
Fortinet	3.117.0.0	2008.11.25	-
GData	19	2008.11.25	Rootkit.Agent.WI
Ikarus	T3.1.1.45.0	2008.11.25	-
K7AntiVirus	7.10.533	2008.11.25	-
Kaspersky	7.0.0.125	2008.11.25	-
McAfee	5445	2008.11.25	-
McAfee+Artemis	5445	2008.11.25	-
Microsoft	1.4104	2008.11.25	Trojan:WinNT/Tibs.gen!A
NOD32	3640	2008.11.25	a variant of Win32/Nulprot
Norman	5.80.02	2008.11.25	-
Panda	9.0.0.4	2008.11.25	-
PCTools	4.4.2.0	2008.11.25	-
Prevx1	V2	2008.11.25	-
Rising	21.05.12.00	2008.11.25	-
SecureWeb-Gateway	6.7.6	2008.11.25	Trojan.Rootkit.Gen
Sophos	4.35.0	2008.11.25	-
Sunbelt	3.1.1823.2	2008.11.22	-
Symantec	10	2008.11.25	-
TheHacker	6.3.1.1.163	2008.11.25	-
TrendMicro	8.700.0.1004	2008.11.25	WORM_NUCRP.GEN
VBA32	3.12.8.9	2008.11.25	-
ViRobot	2008.11.25.1485	2008.11.25	-
VirusBuster	4.5.11.0	2008.11.25	-
weitere Informationen
File size: 42688 bytes
MD5...: 1c86896b3b3c3e04047faf6928a719d2
SHA1..: 7947fc6f71bb47e2770c4246369ccc4d8dc27d96
SHA256: 74c0d052e09c22e37c86b58a635cf9dc6e5619663bc05b4cb9a9da32fc60ed64
SHA512: 00ef6134a2c619bb42ebe04258b92dedef41d29d0ac855703cfeeb58b50fba4f<br>62c1a237372f57662b423034fb29d1ef9ff7d1f26c3f6c45bcc6bfa95eda7922<br>
ssdeep: 768:djFzbY1lO2pAdk/e6Mcghl7qJeqhRc4QeqGI0HO0tCaeSu/OWHkX8:rzbWlO<br>2HZuuoqo450atCaeS81<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x403403<br>timedatestamp.....: 0x49191d75 (Tue Nov 11 05:51:49 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x240 0x470f 0x4720 7.99 a056079fbe8ccb49dc3f4bfc8ae2e335<br>.rdata 0x4960 0x43fc 0x4400 7.96 bf0ba0d8176f50616c46b29020361e7b<br>.data 0x8d60 0xfc 0x100 4.78 d114fba2d10dc52fc40837ee781164e0<br>INIT 0x8e60 0x6d8 0x6e0 7.89 659877c7adc0c5e1eb25376999caf005<br>.reloc 0x9540 0x1180 0x1180 7.46 b5344628e13559a0ab4dcce012b10a45<br><br>( 2 imports ) <br>&gt; NDIS.SYS: NdisWaitEvent<br>&gt; NTOSKRNL.EXE: DbgBreakPointWithStatus, MmGetSystemRoutineAddress<br><br>( 0 exports ) <br>

Kann man hier noch helfen??

[K.Karl]

Kann mir denn keiner Helfen???

[Speedy]

sorgfältig lesen!

ich kann versuchen, dein system von malware zu befreien, du musst dir aber im klaren sein, das wir es im schlimmsten fall mit einer schadsoftware zu tun haben, die hintertüren geöffnet hat. so kann es sein, das dein antivirenprogramm außer kraft gesetzt wurde, das jemand deine passworte geklaut hat "internetbanking", und im schlimmsten fall für die community, das dein system für ddos attacken, oder als server für verbotene bilddaten benutzt wird. bei einer backdoor-infection wird empfohlen, das system neu aufzusetzen (format:c), darüber gibt es im netz einige beiträge, hier von j.malte und eine empfehlung von microsoft. du solltest aber auch schleunigst deine zugangsdaten für internetbanking, paypal oder sonstigen pers. zugangsdaten über einen sauberen rechner ändern. diesem szenario gegenüber wird von microsoft ein removal tool angeboten, um malware sicher zu entfernen, hier sind auch schadprogramme mit backdoorfunktionalität dabei. ob man aber tatsächlich alle veränderten dateien bereinigen kann, ist oft mehr als fraglich.
die sicherste und schnellste lösung ist formatieren und neuinstallieren. man sollte sich aber vorher darüber gedanken machen, welche pers. daten man sichern will, denn nach format:c gibt es kein zurück.
will man allerdings sein gewohntes system weiterverwenden, so muss man etliches an zeit (im allgemeinen mehrere stunden) und downloadvolumen (von 1 mb bis in den 3 stelligen bereich) investieren. man bekommt das system allerdings nur dem "stand der technik" clean, ich persönlich würde damit kein internetbanking oder sonstige geldgeschäfte damit durchführen und das downloadvolumen immer im auge behalten. also entscheide dich. reinigung oder format:c

[K.Karl]

Das ist doch mal ne klare Aussage!

-> Format C:!

Danke trotzdem!

[Speedy]

nach format, ein hjt logfile im tag code formatiert posten!

[K.Karl]

Hallo,

habe einen Trojener aufgefangen!

was ist zu tun?

Könnt Ihr mir bitte rasch helfen?

Hier das ComboFix Logfile:

Code:

ComboFix 08-11-28.03 - Administrator 2008-11-29 12:34:55.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1622 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\e1000msg.dll
c:\windows\system32\NicEtCoE.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-28 bis 2008-11-29  ))))))))))))))))))))))))))))))
.

2008-11-29 12:25 . 2008-11-29 12:25	<DIR>	d--------	c:\programme\LuckyTender
2008-11-29 12:10 . 2008-09-26 18:06	40,496	--a------	c:\windows\system32\drivers\hotcore3.sys
2008-11-29 12:09 . 2008-11-29 12:09	<DIR>	d--------	c:\programme\Paragon Software
2008-11-29 00:50 . 2008-11-29 00:50	<DIR>	d--------	c:\windows\system32\bits
2008-11-29 00:50 . 2008-11-29 00:50	<DIR>	d--------	c:\windows\l2schemas
2008-11-29 00:25 . 2008-04-14 03:22	1,737,856	---------	c:\windows\system32\mtxparhd.dll
2008-11-29 00:24 . 2004-08-03 22:41	1,041,536	---------	c:\windows\system32\drivers\hsfdpsp2.sys
2008-11-29 00:23 . 2008-04-14 03:22	1,888,992	---------	c:\windows\system32\ati3duag.dll
2008-11-29 00:08 . 2008-08-14 14:19	2,191,488	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-29 00:08 . 2008-08-14 14:19	2,147,840	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-29 00:08 . 2008-08-14 14:19	2,068,352	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-29 00:08 . 2008-08-14 14:19	2,026,496	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-29 00:08 . 2008-09-15 16:24	1,846,528	-----c---	c:\windows\system32\dllcache\win32k.sys
2008-11-29 00:08 . 2008-09-08 11:41	333,824	-----c---	c:\windows\system32\dllcache\srv.sys
2008-11-29 00:08 . 2008-06-14 18:32	273,024	---------	c:\windows\system32\drivers\bthport.sys
2008-11-29 00:08 . 2008-06-14 18:32	273,024	-----c---	c:\windows\system32\dllcache\bthport.sys
2008-11-29 00:08 . 2008-08-14 11:04	138,496	-----c---	c:\windows\system32\dllcache\afd.sys
2008-11-29 00:07 . 2008-04-11 20:04	691,712	-----c---	c:\windows\system32\dllcache\inetcomm.dll
2008-11-29 00:07 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-29 00:07 . 2008-10-15 17:35	337,408	-----c---	c:\windows\system32\dllcache\netapi32.dll
2008-11-29 00:07 . 2008-05-08 15:02	203,136	-----c---	c:\windows\system32\dllcache\rmcast.sys
2008-11-29 00:07 . 2006-03-21 04:23	23,040	---------	c:\windows\kb913800.exe
2008-11-28 23:30 . 2001-05-11 13:18	420,240	--a------	c:\windows\system32\mpg4c32.dll
2008-11-28 23:30 . 2001-05-16 17:54	309,616	--a------	c:\windows\system32\wmv8dmod.dll
2008-11-28 23:30 . 2001-03-26 04:41	245,760	--a------	c:\windows\system32\mp4sds32.ax
2008-11-28 23:29 . 2008-11-28 23:29	<DIR>	d--------	c:\programme\Hofer Foto Service
2008-11-28 23:29 . 2008-11-28 23:30	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2008-11-28 23:29 . 2008-11-28 23:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hofer Foto Service
2008-11-28 23:28 . 2008-11-28 23:30	<DIR>	d--------	c:\windows\system32\MAGIX
2008-11-28 23:28 . 2005-05-26 15:34	2,297,552	--a------	c:\windows\system32\d3dx9_26.dll
2008-11-28 23:28 . 2008-04-15 15:14	700,416	--a------	c:\windows\system32\mgxoschk.dll
2008-11-28 23:28 . 2008-11-28 23:29	7,119	--a------	c:\windows\mgxoschk.ini
2008-11-28 23:27 . 2008-11-28 23:27	<DIR>	d--------	c:\programme\GameSpy
2008-11-28 23:05 . 2008-11-29 00:00	<DIR>	d--------	c:\windows\SxsCaPendDel
2008-11-28 23:04 . 2008-11-28 23:04	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2008-11-28 23:01 . 2008-11-29 11:01	<DIR>	d--------	c:\programme\Mozilla Thunderbird
2008-11-28 23:01 . 2008-11-28 23:01	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird
2008-11-28 23:00 . 2008-11-28 23:00	<DIR>	d--------	c:\programme\iTunes
2008-11-28 23:00 . 2008-11-28 23:00	<DIR>	d--------	c:\programme\iPod
2008-11-28 23:00 . 2008-11-28 23:00	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-28 22:59 . 2008-11-28 22:59	<DIR>	d--------	c:\programme\QuickTime
2008-11-28 22:55 . 2008-11-28 22:55	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-11-28 22:55 . 2008-04-17 13:12	107,368	--a------	c:\windows\system32\GEARAspi.dll
2008-11-28 22:55 . 2008-04-17 13:12	15,464	--a------	c:\windows\system32\drivers\GEARAspiWDM.sys
2008-11-28 22:54 . 2008-11-29 12:10	<DIR>	d----c---	c:\windows\system32\DRVSTORE
2008-11-28 22:54 . 2008-11-28 22:54	<DIR>	d--------	c:\programme\Bonjour
2008-11-28 22:54 . 2008-11-28 22:54	<DIR>	d--------	c:\programme\Apple Software Update
2008-11-28 22:54 . 2008-11-28 22:54	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-28 22:53 . 2008-11-28 23:00	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Apple
2008-11-28 22:53 . 2008-11-28 22:53	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-11-28 22:49 . 2008-11-28 22:49	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Talkback
2008-11-28 22:48 . 2008-11-29 11:02	<DIR>	d--------	c:\programme\Mozilla Sunbird
2008-11-28 22:41 . 2008-11-28 22:42	<DIR>	d--h-----	c:\programme\Zero G Registry
2008-11-28 22:41 . 2008-11-28 23:23	<DIR>	d--------	c:\programme\Spiele
2008-11-28 22:40 . 2008-11-28 22:40	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\InstallAnywhere
2008-11-28 22:40 . 2008-11-28 22:43	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sports Interactive
2008-11-28 22:25 . 2008-11-29 12:24	<DIR>	d--------	c:\programme\eMule
2008-11-28 22:23 . 2008-11-28 22:23	<DIR>	d--------	c:\programme\BearShare Applications
2008-11-28 22:23 . 2008-11-28 22:23	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\BearShare
2008-11-28 22:23 . 2007-11-22 15:00	483,328	--a------	c:\windows\system32\actskn45.ocx
2008-11-28 22:21 . 2008-11-28 22:21	<DIR>	d--------	c:\programme\MP3Gain
2008-11-28 22:16 . 2008-11-28 22:16	<DIR>	d--------	c:\programme\SopCast
2008-11-28 22:15 . 2008-11-28 22:15	<DIR>	d--------	c:\programme\Skype
2008-11-28 22:15 . 2008-11-28 22:15	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Skype
2008-11-28 22:15 . 2008-11-28 22:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-28 22:15 . 2008-11-29 00:01	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2008-11-28 22:14 . 2008-11-28 22:14	<DIR>	d--------	c:\programme\IrfanView
2008-11-28 21:50 . 2008-08-26 08:57	63,488	-----c---	c:\windows\system32\dllcache\icardie.dll
2008-11-28 21:46 . 2008-11-28 21:46	<DIR>	d--------	c:\programme\MSXML 6.0
2008-11-28 21:46 . 2008-11-28 21:46	<DIR>	d--------	c:\programme\MSXML 4.0
2008-11-28 21:46 . 2008-10-03 17:58	6,066,176	-----c---	c:\windows\system32\dllcache\ieframe.dll
2008-11-28 21:46 . 2007-04-17 10:32	2,455,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dat
2008-11-28 21:46 . 2007-03-08 06:09	1,040,384	-----c---	c:\windows\system32\dllcache\ieframe.dll.mui
2008-11-28 21:46 . 2008-08-26 08:57	459,264	-----c---	c:\windows\system32\dllcache\msfeeds.dll
2008-11-28 21:46 . 2008-08-26 08:57	383,488	-----c---	c:\windows\system32\dllcache\ieapfltr.dll
2008-11-28 21:46 . 2008-08-26 08:57	267,776	-----c---	c:\windows\system32\dllcache\iertutil.dll
2008-11-28 21:46 . 2008-08-26 08:57	52,224	-----c---	c:\windows\system32\dllcache\msfeedsbs.dll
2008-11-28 21:46 . 2008-08-25 09:38	13,824	-----c---	c:\windows\system32\dllcache\ieudinit.exe
2008-11-28 21:42 . 2008-11-28 21:42	<DIR>	d--------	c:\programme\Windows Media Connect 2
2008-11-28 21:38 . 2008-11-29 00:50	<DIR>	d--------	c:\windows\system32\de-de
2008-11-28 21:32 . 2006-12-04 00:34	1,698,048	---------	c:\windows\system32\XpsSvcs.dll
2008-11-28 21:32 . 2006-12-04 00:34	1,698,048	-----c---	c:\windows\system32\dllcache\XpsSvcs.dll
2008-11-28 21:32 . 2006-12-04 00:34	671,744	-----c---	c:\windows\system32\dllcache\PrintFilterPipelineSvc.exe
2008-11-28 21:32 . 2006-12-04 00:34	580,352	---------	c:\windows\system32\XPSSHHDR.dll
2008-11-28 21:32 . 2006-12-04 00:34	580,352	-----c---	c:\windows\system32\dllcache\XPSSHHDR.dll
2008-11-28 21:32 . 2006-12-04 00:34	124,416	---------	c:\windows\system32\prntvpt.dll
2008-11-28 21:32 . 2006-12-04 00:34	27,648	-----c---	c:\windows\system32\dllcache\FilterPipelinePrintProc.dll
2008-11-28 21:32 . 2006-12-04 00:34	14,048	---------	c:\windows\system32\spmsg2.dll
2008-11-28 21:29 . 2006-11-08 09:51	62,336	---------	c:\windows\system32\drivers\rspndr.sys
2008-11-28 21:29 . 2006-11-08 09:51	10,752	---------	c:\windows\system32\rspndr.exe
2008-11-28 21:29 . 2008-11-28 21:29	3	--a------	c:\windows\system32\vbrun60sp6.installed
2008-11-28 21:25 . 2008-04-14 03:23	28,672	---------	c:\windows\system32\verclsid.exe
2008-11-28 21:25 . 2008-11-28 21:25	3	--a------	c:\windows\system32\Wordpad-Converter-ZLib-update.installed
2008-11-28 21:24 . 2008-11-29 00:50	<DIR>	d--------	c:\windows\system32\de
2008-11-28 21:24 . 2008-04-14 03:22	397,312	---------	c:\windows\system32\mmcex.dll
2008-11-28 21:24 . 2008-04-14 03:22	184,320	---------	c:\windows\system32\microsoft.managementconsole.dll
2008-11-28 21:24 . 2008-04-14 03:22	106,496	---------	c:\windows\system32\mmcfxcommon.dll
2008-11-28 21:24 . 2008-04-14 03:22	33,792	---------	c:\windows\system32\mmcperf.exe
2008-11-28 21:17 . 2008-11-28 21:17	<DIR>	d--------	c:\programme\Winamp
2008-11-28 21:17 . 2008-11-28 22:51	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2008-11-28 21:17 . 2007-03-08 00:51	129,784	---------	c:\windows\system32\pxafs.dll
2008-11-28 21:17 . 2007-03-08 00:51	9,464	---------	c:\windows\system32\drivers\cdralw2k.sys
2008-11-28 21:17 . 2007-03-08 00:51	9,336	---------	c:\windows\system32\drivers\cdr4_xp.sys
2008-11-28 21:15 . 2008-11-28 21:15	<DIR>	d--------	c:\programme\FreePDF_XP
2008-11-28 21:15 . 2008-11-28 21:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\FreePDF
2008-11-28 21:15 . 2005-01-06 18:33	119,152	--a------	c:\windows\system32\redmon.hlp
2008-11-28 21:15 . 2005-01-06 18:33	116,224	--a------	c:\windows\system32\redmonnt.dll
2008-11-28 21:15 . 2005-01-06 18:33	45,056	--a------	c:\windows\system32\unredmon.exe
2008-11-28 21:14 . 2008-11-28 21:14	<DIR>	d--------	c:\programme\Ghostscript
2008-11-28 21:14 . 2008-11-28 21:14	<DIR>	d--------	c:\programme\FlashFXP
2008-11-28 21:11 . 2008-11-28 21:11	<DIR>	d--------	c:\programme\Avira
2008-11-28 21:11 . 2008-11-28 21:11	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-28 22:23	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-11-28 22:05	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-11-28 19:22	---------	d-----w	c:\programme\SigmaTel
2008-11-28 19:22	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2008-11-28 19:17	---------	d-----w	c:\programme\Dell
2008-11-28 19:00	---------	d-----w	c:\programme\GermanOtto
2008-11-28 19:00	---------	d-----w	c:\programme\GemMasterGerman
2008-11-28 18:22	---------	d-----w	c:\programme\microsoft frontpage
2008-11-28 18:21	---------	d-----w	c:\programme\Online-Dienste
2008-11-28 18:20	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-11-28 18:18	---------	d-----w	c:\programme\Windows Plus
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-26 17:06	4,244,744	----a-w	c:\windows\system32\qtp-mt334.dll
2008-09-26 17:06	248,584	----a-w	c:\windows\system32\prgiso.dll
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	----a-w	c:\windows\system32\msxml6.dll
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2008-08-29 09:18	87,336	----a-w	c:\windows\system32\dns-sd.exe
2008-08-29 08:53	61,440	----a-w	c:\windows\system32\dnssd.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-16 7323648]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-20 c:\windows\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hofer_FotoSuite_Download]
--a------ 2008-11-13 17:30 1257472 c:\programme\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-01-29 15:36 25370152 c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Spiele\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Spiele\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 hotcore3;Hotcore helper;c:\windows\system32\DRIVERS\hotcore3.sys [2008-11-29 40496]
R2 AntiVirMailService;Avira AntiVir Premium MailGuard;"c:\programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-11-28 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;"c:\programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE" [2008-11-28 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;"c:\programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-11-28 41217]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Hofer Foto Service\Common\Database\bin\fbserver.exe [2008-11-28 1527900]

*Newly Created Service* - HOTCORE3
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xidhkk88.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.at/
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 12:36:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(768)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2008-11-29 12:36:35
ComboFix-quarantined-files.txt  2008-11-29 11:36:33

Vor Suchlauf: 10 Verzeichnis(se), 163.504.898.048 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 164,958,138,368 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

234	--- E O F ---	2008-11-28 23:56:10

[Speedy]

hi karl !

was soll das, keine rückmeldung im letzten beitrag aber schon wieder einen neuen beginnen