Oje Schmarotzer Viren oder so was

W.E. · 31.08.2008

SportGoofy hat sich nach eindringlichem befragen für's reparieren entschieden, warum auch immer, aber es ist sein wunsch. und schrauber hat seine hilfe angeboten - solte man akzeptieren.

das forum spielt da sicherlich auch eine rolle....

schrauber · 31.08.2008

erstens heißt das dingen trendmicro, nicht microtrend. zweitens hatten wir(nicht ich) einfluss auf das prog, als es noch bei merjin war. trendmicro is das prog egal. und hjt brauch man auch nur zum kurzüberblick, wenns zur sache geht gibt es andere tools.

ich bin sicher keiner der großen, ich diskutiere nur normal mit dir. wenn du ausfallend wirst, mach ich mit, no prob. frag meine frau, ich kann das

.

und lange logs lass ich eh hochladen und downloadlink posten, wobei das dir auch egal sein kann, wenn du nicht gerade der serverbetreiber bist auf dem das log liegt.

schrauber · 01.09.2008

@ alle die mitlesen

der TO hat mir per pn das erste scanergebnis übermittelt. das nächste wird wieder hier gepostet.

SportGoofy · 02.09.2008

Also der Link zur MS Wiederherstellungskonsole verzweigt auf Startdisketten - ist das richtig?

2. meckert Avira Antivir nicht mehr - es erscheinen keine Meldungen mehr über Trojaner oder so was.

schrauber · 02.09.2008

dort auf der Seite steht auch ein Link zur ms-homepage, wie es ohne Diskette geht.

Symptome weg heißt nicht malware weg!

SportGoofy · 02.09.2008

ComboFix 08-09-01.01 - JT 2008-09-02 15:43:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.237 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\JT\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\JT\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\JTetzlaff\Cookies\jtetzlaff@indextools[1].txt
C:\Dokumente und Einstellungen\JTetzlaff\Cookies\jtetzlaff@revsci[1].txt
C:\test.txt
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 ))))))))))))))))))))))))))))))
.

2008-09-01 20:12 . 2008-09-01 20:12 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-29 09:35 . 2008-08-29 09:35 <DIR> d-------- C:\WINDOWS\Sun
2008-08-29 09:29 . 2008-08-29 09:29 <DIR> d-------- C:\Programme\Sun
2008-08-29 09:29 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-29 09:07 . 2008-08-29 09:07 0 --a------ C:\WINDOWS\system32\3.tmp
2008-08-28 19:09 . 2008-08-29 09:05 <DIR> d-------- C:\Programme\NOS
2008-08-28 19:09 . 2008-08-29 09:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-08-27 21:37 . 2008-08-27 21:37 268 --ah----- C:\sqmdata00.sqm
2008-08-27 21:37 . 2008-08-27 21:37 244 --ah----- C:\sqmnoopt00.sqm
2008-08-27 21:36 . 2008-08-27 21:36 0 --a------ C:\WINDOWS\system32\4.tmp
2008-08-26 20:02 . 2008-08-26 20:15 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-26 19:02 . 2008-08-26 19:02 <DIR> d-------- C:\Programme\directx
2008-08-26 19:00 . 2008-08-26 19:02 <DIR> d-------- C:\Modelleisenbahn Simulator
2008-08-26 13:14 . 2008-08-26 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\OpenSource Flash Video Splitter
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\Haali
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\DSP-worx
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\DScaler5
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\CD Audio Reader Filter
2008-08-26 05:06 . 2008-08-26 06:57 <DIR> d-------- C:\Programme\Zoom Player
2008-08-26 05:06 . 2008-08-26 05:06 <DIR> d-------- C:\Programme\DirectVobSub
2008-08-26 04:57 . 2008-08-26 04:57 <DIR> d-------- C:\Programme\Real Alternative
2008-08-26 04:51 . 2008-08-26 12:27 118,784 --a------ C:\WINDOWS\system32\blphcjsdj0e5e7.scr.vir
2008-08-16 02:20 . 2008-08-16 02:20 <DIR> d-------- C:\Programme\Microsoft Silverlight
2008-08-16 02:19 . 2008-08-16 02:19 <DIR> d-------- C:\Programme\Microsoft Synchronization Services
2008-08-16 02:19 . 2008-08-16 02:19 <DIR> d-------- C:\Programme\Microsoft SQL Server Compact Edition
2008-08-16 02:11 . 2008-08-16 02:19 <DIR> d-------- C:\Programme\Microsoft Visual Studio 9.0
2008-08-16 02:08 . 2008-08-16 02:08 <DIR> d-------- C:\Programme\Microsoft SDKs
2008-08-16 02:01 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-08-16 01:50 . 2008-08-16 01:55 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-08-16 01:50 . 2008-08-16 01:50 <DIR> d-------- C:\Programme\Reference Assemblies
2008-08-16 01:49 . 2008-07-06 14:06 117,760 --------- C:\WINDOWS\system32\prntvpt.dll
2008-08-16 01:49 . 2008-07-06 14:06 89,088 -----c--- C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2008-08-16 01:49 . 2008-08-16 01:49 222 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-16 01:48 . 2008-07-06 14:06 1,676,288 --------- C:\WINDOWS\system32\xpssvcs.dll
2008-08-16 01:48 . 2008-07-06 14:06 1,676,288 -----c--- C:\WINDOWS\system32\dllcache\xpssvcs.dll
2008-08-16 01:48 . 2008-07-06 12:50 597,504 -----c--- C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2008-08-16 01:48 . 2008-07-06 14:06 575,488 --------- C:\WINDOWS\system32\xpsshhdr.dll
2008-08-16 01:48 . 2008-07-06 14:06 575,488 -----c--- C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2008-08-08 16:26 . 2008-08-08 16:26 <DIR> d-------- C:\Programme\7-Zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 17:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-30 19:14 --------- d-----w C:\Dokumente und Einstellungen\JTetzlaff\Anwendungsdaten\GetRight
2008-08-29 07:28 --------- d-----w C:\Programme\Java
2008-08-28 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-27 15:47 --------- d-----w C:\Programme\SlySoft
2008-08-26 02:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-08-16 00:20 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-16 00:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-15 23:50 --------- d-----w C:\Programme\MSBuild
2008-08-09 17:59 --------- d-----w C:\Dokumente und Einstellungen\JTetzlaff\Anwendungsdaten\phonostar-Player
2008-08-09 16:54 --------- d-----w C:\Programme\phonostar
2008-08-02 11:01 --------- d-----w C:\Programme\Google
2008-07-31 19:18 --------- d-----w C:\Programme\GetRight
2008-07-29 19:10 73,720 ----a-w C:\WINDOWS\system32\dxva2.dll
2008-07-29 19:10 493,048 ----a-w C:\WINDOWS\system32\evr.dll
2008-07-29 19:10 26,112 ----a-w C:\WINDOWS\system32\TsWpfWrp.exe
2008-07-29 18:35 326,160 ----a-w C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 17:59 781,344 ----a-w C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 17:59 43,544 ----a-w C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 17:59 161,296 ----a-w C:\WINDOWS\system32\UIAutomationCore.dll
2008-07-29 17:59 105,016 ----a-w C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 17:24 97,800 ----a-w C:\WINDOWS\system32\infocardapi.dll
2008-07-29 17:24 622,080 ----a-w C:\WINDOWS\system32\icardagt.exe
2008-07-29 17:24 11,264 ----a-w C:\WINDOWS\system32\icardres.dll
2008-07-25 09:16 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2008-07-25 09:16 83,968 ----a-w C:\WINDOWS\system32\mscories.dll
2008-07-25 09:16 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2008-07-25 09:16 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
2008-07-10 00:49 215,576 ----a-w C:\WINDOWS\system32\SqlServerSpatial.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2001-03-28 11:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe
2007-09-06 20:23 56 --sh--r C:\WINDOWS\system32\03FF11AA30.sys
2005-07-14 18:31 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll
2007-09-14 16:10 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77D7E795-33C5-4323-974D-A2A49AB75517}]
2008-08-29 14:13 133616 --a----t- C:\Programme\Google\Update\1.2.131.11\GoopdateBho.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 02:57 15360]
PhonostarTimer=C:\Programme\phonostar\ps_timer.exe [2008-07-14 15:18 126976]
LightScribe Control Panel=C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2007-08-23 17:36 455968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avgnt=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 15:24 266497]
Smapp=C:\Programme\Analog Devices\SoundMAX\SMTray.exe [2003-05-05 09:57 143360]
TerraTec Remote Control=C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe [2006-12-07 11:59 1032192]
Creative WebCam Tray=C:\Programme\Creative\Shared Files\CAMTRAY.EXE [2003-10-13 04:04 184320]
NvCplDaemon=C:\WINDOWS\system32\NvCpl.dll [2006-10-22 12:22 7700480]
NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2006-10-22 12:22 86016]
ISUSPM Startup=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe [2005-08-11 16:30 249856]
ISUSScheduler=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2005-08-11 16:30 81920]
Acrobat Assistant 7.0=C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe [2004-12-14 03:12 483328]
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 11:50 155648]
WinampAgent=C:\Programme\Winamp\winampa.exe [2008-03-27 08:35 36352]
GrooveMonitor=H:\Office12\GrooveMonitor.exe [2006-10-27 00:47 31016]
SunJavaUpdateSched=C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 04:27 144784]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 02:38 34672]
nwiz=nwiz.exe [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-08-04 02:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-01-01 17:47:35 113664]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
NoLow DiscSpaceChecks= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
msacm.l3acm= C:\WINDOWS\system32\l3codecp.acm
VIDC.SP54= SP5X_32.DLL
VIDC.SP55= SP5X_32.DLL
VIDC.SP56= SP5X_32.DLL
VIDC.SP57= SP5X_32.DLL
VIDC.SP58= SP5X_32.DLL
VIDC.SP50= SP5X_32.DLL
VIDC.SP51= SP5X_32.DLL
VIDC.SP52= SP5X_32.DLL
VIDC.SP53= SP5X_32.DLL
VIDC.ACDV= ACDV.dll
msacm.imc= imc32.acm
msacm.g723= g723.acm
vidc.I263= I263_32.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
C:\\Programme\\NetMeeting\\conf.exe=
C:\\Programme\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe=
C:\\Programme\\Messenger\\msmsgs.exe=
C:\\Programme\\MSN Messenger\\msnmsgr.exe=
C:\\Programme\\MSN Messenger\\livecall.exe=
C:\\Dokumente und Einstellungen\\JTetzlaff\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe=
C:\\Programme\\SopCast\\SopCast.exe=
C:\\Programme\\TVAnts\\Tvants.exe=
%windir%\\Network Diagnostic\\xpnetdiag.exe=
C:\\Programme\\SopCast\\adv\\SopAdver.exe=
C:\\Programme\\GetRight\\GetRight.exe=
C:\\TetriNET\\TETRINET.EXE=
C:\\Programme\\ICQ6\\ICQ.exe=
H:\\Office12\\OUTLOOK.EXE=
H:\\Office12\\GROOVE.EXE=
H:\\Office12\\ONENOTE.EXE=

R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-03-09 12:20]
R3 3xHybrid;Cinergy HT PCI service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-12-04 17:13]
S2 CA504AV;Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\CA504AV.SYS [2002-06-18 15:55]
S2 gupdate1c8e36471a32a54;Google Update Service (gupdate1c8e36471a32a54);C:\Programme\Google\Update\GoogleUpdate.exe [2008-08-29 14:13]
S3 Flexlm Service 1;Flexlm Service 1;C:\Programme\AutoCAD LT 2007\lmgrd.exe []
S3 merger;merger;C:\Programme\Microsoft Application Compatibility Toolkit\Application Analyzer\merger.exe [2005-09-16 03:39]
S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys [2002-07-25 12:19]
S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys [2002-07-25 12:19]
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-11-29 16:10]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des geplante Tasks Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
Notify-WgaLogon - (no file)

.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\JTetzlaff\Anwendungsdaten\Mozilla\Firefox\Profiles\mktbf7tf.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.cafe80s.de/index.htm
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 15:47:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-02 15:51:10
ComboFix-quarantined-files.txt 2008-09-02 13:50:50

Pre-Run: 5,691,342,848 Bytes frei
Post-Run: 5,974,458,368 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetect

217 --- E O F --- 2008-08-17 01:01:07

Hier is nu die Log-Datei

schrauber · 02.09.2008

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm neu herunter und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code:

File::
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\blphcjsdj0e5e7.scr.vir

Speichere dies als CFScript.txt auf Deinem Desktop
.

.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

==================

Folgende datei bei http://www.virustotal.com/de überprüfen lassen, button filter drücken, ergebnis hier posten.

C:\WINDOWS\system32\spmsg2.dll
C:\WINDOWS\system32\03FF11AA30.sys

==================

Downloade Malwarebytes Anti-Malware von einem dieser Downloadspiegel:
Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Lasse es online updaten (Reiter Updates).
Starte das Programm und aktiviere Komplett Scan durchführen => Scan.
Wähle alle verfügbaren Laufwerke aus und starte den Scan.
Wenn der Scan beendet ist, klicke auf Zeige Resultate.
Versichere Dich, dass alle Funde markiert sind und drücke Löschen.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter Scan-Berichte finden.
Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.

==================

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

Browser öffnen und
Kaspersky Online Scanner ansurfen.
Die Datenschutzerklärung akzeptieren.
Die nötigen ActiveX-Steuerelemente installieren lassen.
Update der Signaturen installieren lassen => Weiter
Scan-Einstellungen => Standard wählen => OK
Link Arbeitsplatz anklicken
Scan beginnt automatisch
Untersuchung wurde abgeschlossen => Protokoll speichern als...
Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
Logdatei hier posten.

Deinstallation
nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
=> C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

SportGoofy · 02.09.2008

ComboFix 08-09-01.01 - JTetzlaff 2008-09-02 17:12:30.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\JTetzlaff\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\JTetzlaff\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\blphcjsdj0e5e7.scr.vir
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\blphcjsdj0e5e7.scr.vir

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 ))))))))))))))))))))))))))))))
.

2008-09-01 20:12 . 2008-09-01 20:12 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-29 09:35 . 2008-08-29 09:35 <DIR> d-------- C:\WINDOWS\Sun
2008-08-29 09:29 . 2008-08-29 09:29 <DIR> d-------- C:\Programme\Sun
2008-08-29 09:29 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-28 19:09 . 2008-08-29 09:05 <DIR> d-------- C:\Programme\NOS
2008-08-28 19:09 . 2008-08-29 09:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-08-27 21:37 . 2008-08-27 21:37 268 --ah----- C:\sqmdata00.sqm
2008-08-27 21:37 . 2008-08-27 21:37 244 --ah----- C:\sqmnoopt00.sqm
2008-08-26 20:02 . 2008-08-26 20:15 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-26 19:02 . 2008-08-26 19:02 <DIR> d-------- C:\Programme\directx
2008-08-26 19:00 . 2008-08-26 19:02 <DIR> d-------- C:\Modelleisenbahn Simulator
2008-08-26 13:14 . 2008-08-26 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\OpenSource Flash Video Splitter
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\Haali
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\DSP-worx
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\DScaler5
2008-08-26 05:07 . 2008-08-26 05:07 <DIR> d-------- C:\Programme\CD Audio Reader Filter
2008-08-26 05:06 . 2008-08-26 06:57 <DIR> d-------- C:\Programme\Zoom Player
2008-08-26 05:06 . 2008-08-26 05:06 <DIR> d-------- C:\Programme\DirectVobSub
2008-08-26 04:57 . 2008-08-26 04:57 <DIR> d-------- C:\Programme\Real Alternative
2008-08-16 02:20 . 2008-08-16 02:20 <DIR> d-------- C:\Programme\Microsoft Silverlight
2008-08-16 02:19 . 2008-08-16 02:19 <DIR> d-------- C:\Programme\Microsoft Synchronization Services
2008-08-16 02:19 . 2008-08-16 02:19 <DIR> d-------- C:\Programme\Microsoft SQL Server Compact Edition
2008-08-16 02:11 . 2008-08-16 02:19 <DIR> d-------- C:\Programme\Microsoft Visual Studio 9.0
2008-08-16 02:08 . 2008-08-16 02:08 <DIR> d-------- C:\Programme\Microsoft SDKs
2008-08-16 02:01 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-08-16 01:50 . 2008-08-16 01:55 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-08-16 01:50 . 2008-08-16 01:50 <DIR> d-------- C:\Programme\Reference Assemblies
2008-08-16 01:49 . 2008-07-06 14:06 117,760 --------- C:\WINDOWS\system32\prntvpt.dll
2008-08-16 01:49 . 2008-07-06 14:06 89,088 -----c--- C:\WINDOWS\system32\dllcache\filterpipelineprintproc.dll
2008-08-16 01:49 . 2008-08-16 01:49 222 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-16 01:48 . 2008-07-06 14:06 1,676,288 --------- C:\WINDOWS\system32\xpssvcs.dll
2008-08-16 01:48 . 2008-07-06 14:06 1,676,288 -----c--- C:\WINDOWS\system32\dllcache\xpssvcs.dll
2008-08-16 01:48 . 2008-07-06 12:50 597,504 -----c--- C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2008-08-16 01:48 . 2008-07-06 14:06 575,488 --------- C:\WINDOWS\system32\xpsshhdr.dll
2008-08-16 01:48 . 2008-07-06 14:06 575,488 -----c--- C:\WINDOWS\system32\dllcache\xpsshhdr.dll
2008-08-08 16:26 . 2008-08-08 16:26 <DIR> d-------- C:\Programme\7-Zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 17:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-30 19:14 --------- d-----w C:\Dokumente und Einstellungen\JTetzlaff\Anwendungsdaten\GetRight
2008-08-29 07:28 --------- d-----w C:\Programme\Java
2008-08-28 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-27 15:47 --------- d-----w C:\Programme\SlySoft
2008-08-26 02:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-08-16 00:20 --------- d-----w C:\Programme\Microsoft SQL Server
2008-08-16 00:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-15 23:50 --------- d-----w C:\Programme\MSBuild
2008-08-09 17:59 --------- d-----w C:\Dokumente und Einstellungen\JTetzlaff\Anwendungsdaten\phonostar-Player
2008-08-09 16:54 --------- d-----w C:\Programme\phonostar
2008-08-02 11:01 --------- d-----w C:\Programme\Google
2008-07-31 19:18 --------- d-----w C:\Programme\GetRight
2008-07-29 19:10 73,720 ----a-w C:\WINDOWS\system32\dxva2.dll
2008-07-29 19:10 493,048 ----a-w C:\WINDOWS\system32\evr.dll
2008-07-29 19:10 26,112 ----a-w C:\WINDOWS\system32\TsWpfWrp.exe
2008-07-29 18:35 326,160 ----a-w C:\WINDOWS\system32\PresentationHost.exe
2008-07-29 17:59 781,344 ----a-w C:\WINDOWS\system32\PresentationNative_v0300.dll
2008-07-29 17:59 43,544 ----a-w C:\WINDOWS\system32\PresentationHostProxy.dll
2008-07-29 17:59 161,296 ----a-w C:\WINDOWS\system32\UIAutomationCore.dll
2008-07-29 17:59 105,016 ----a-w C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2008-07-29 17:24 97,800 ----a-w C:\WINDOWS\system32\infocardapi.dll
2008-07-29 17:24 622,080 ----a-w C:\WINDOWS\system32\icardagt.exe
2008-07-29 17:24 11,264 ----a-w C:\WINDOWS\system32\icardres.dll
2008-07-25 09:16 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2008-07-25 09:16 83,968 ----a-w C:\WINDOWS\system32\mscories.dll
2008-07-25 09:16 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2008-07-25 09:16 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
2008-07-10 00:49 215,576 ----a-w C:\WINDOWS\system32\SqlServerSpatial.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2001-03-28 11:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe
2007-09-06 20:23 56 --sh--r C:\WINDOWS\system32\03FF11AA30.sys
2005-07-14 18:31 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll
2007-09-14 16:10 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77D7E795-33C5-4323-974D-A2A49AB75517}]
2008-08-29 14:13 133616 --a----t- C:\Programme\Google\Update\1.2.131.11\GoopdateBho.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 02:57 15360]
PhonostarTimer=C:\Programme\phonostar\ps_timer.exe [2008-07-14 15:18 126976]
LightScribe Control Panel=C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe [2007-08-23 17:36 455968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avgnt=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-17 15:24 266497]
Smapp=C:\Programme\Analog Devices\SoundMAX\SMTray.exe [2003-05-05 09:57 143360]
TerraTec Remote Control=C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe [2006-12-07 11:59 1032192]
Creative WebCam Tray=C:\Programme\Creative\Shared Files\CAMTRAY.EXE [2003-10-13 04:04 184320]
NvCplDaemon=C:\WINDOWS\system32\NvCpl.dll [2006-10-22 12:22 7700480]
NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2006-10-22 12:22 86016]
ISUSPM Startup=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe [2005-08-11 16:30 249856]
ISUSScheduler=C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [2005-08-11 16:30 81920]
Acrobat Assistant 7.0=C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe [2004-12-14 03:12 483328]
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 11:50 155648]
WinampAgent=C:\Programme\Winamp\winampa.exe [2008-03-27 08:35 36352]
GrooveMonitor=H:\Office12\GrooveMonitor.exe [2006-10-27 00:47 31016]
SunJavaUpdateSched=C:\Programme\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 04:27 144784]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 02:38 34672]
nwiz=nwiz.exe [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-08-04 02:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-01-01 17:47:35 113664]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
NoLow DiscSpaceChecks= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
msacm.l3acm= C:\WINDOWS\system32\l3codecp.acm
VIDC.SP54= SP5X_32.DLL
VIDC.SP55= SP5X_32.DLL
VIDC.SP56= SP5X_32.DLL
VIDC.SP57= SP5X_32.DLL
VIDC.SP58= SP5X_32.DLL
VIDC.SP50= SP5X_32.DLL
VIDC.SP51= SP5X_32.DLL
VIDC.SP52= SP5X_32.DLL
VIDC.SP53= SP5X_32.DLL
VIDC.ACDV= ACDV.dll
msacm.imc= imc32.acm
msacm.g723= g723.acm
vidc.I263= I263_32.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
C:\\Programme\\NetMeeting\\conf.exe=
C:\\Programme\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe=
C:\\Programme\\Messenger\\msmsgs.exe=
C:\\Programme\\MSN Messenger\\msnmsgr.exe=
C:\\Programme\\MSN Messenger\\livecall.exe=
C:\\Dokumente und Einstellungen\\JTetzlaff\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe=
C:\\Programme\\SopCast\\SopCast.exe=
C:\\Programme\\TVAnts\\Tvants.exe=
%windir%\\Network Diagnostic\\xpnetdiag.exe=
C:\\Programme\\SopCast\\adv\\SopAdver.exe=
C:\\Programme\\GetRight\\GetRight.exe=
C:\\TetriNET\\TETRINET.EXE=
C:\\Programme\\ICQ6\\ICQ.exe=
H:\\Office12\\OUTLOOK.EXE=
H:\\Office12\\GROOVE.EXE=
H:\\Office12\\ONENOTE.EXE=

R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-03-09 12:20]
R3 3xHybrid;Cinergy HT PCI service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-12-04 17:13]
S2 CA504AV;Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\CA504AV.SYS [2002-06-18 15:55]
S2 gupdate1c8e36471a32a54;Google Update Service (gupdate1c8e36471a32a54);C:\Programme\Google\Update\GoogleUpdate.exe [2008-08-29 14:13]
S3 Flexlm Service 1;Flexlm Service 1;C:\Programme\AutoCAD LT 2007\lmgrd.exe []
S3 merger;merger;C:\Programme\Microsoft Application Compatibility Toolkit\Application Analyzer\merger.exe [2005-09-16 03:39]
S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys [2002-07-25 12:19]
S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys [2002-07-25 12:19]
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-11-29 16:10]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des geplante Tasks Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 17:15:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-02 17:18:50
ComboFix-quarantined-files.txt 2008-09-02 15:17:57
ComboFix2.txt 2008-09-02 13:51:11

Pre-Run: 5,829,775,360 Bytes frei
Post-Run: 5,935,087,616 Bytes frei

193 --- E O F --- 2008-08-17 01:01:07

[br][br]Erstellt am: 02.09.08 um 16:23:12

[br]spmsg2.dll

AhnLab-V3 2008.9.3.0 2008.09.02 -
AntiVir 7.8.1.23 2008.09.02 -
Authentium 5.1.0.4 2008.09.02 -
Avast 4.8.1195.0 2008.09.02 -
BitDefender 7.2 2008.09.02 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.02 -
DrWeb 4.44.0.09170 2008.09.02 -
eSafe 7.0.17.0 2008.09.02 -
eTrust-Vet 31.6.6064 2008.09.02 -
Ewido 4.0 2008.09.02 -
F-Prot 4.4.4.56 2008.09.02 -
F-Secure 8.0.14332.0 2008.09.02 -
Fortinet 3.14.0.0 2008.09.02 -
GData 19 2008.09.02 -
Ikarus T3.1.1.34.0 2008.09.02 -
K7AntiVirus 7.10.437 2008.09.02 -
Kaspersky 7.0.0.125 2008.09.02 -
McAfee 5374 2008.09.01 -
Microsoft 1.3807 2008.09.02 -
NOD32v2 3407 2008.09.02 -
Norman 5.80.02 2008.09.02 -
Panda 9.0.0.4 2008.09.02 -
PCTools 4.4.2.0 2008.09.02 -
Prevx1 V2 2008.09.02 -
Rising 20.60.11.00 2008.09.02 -
Sophos 4.33.0 2008.09.02 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.02 -
TheHacker 6.3.0.8.069 2008.09.01 -
TrendMicro 8.700.0.1004 2008.09.02 -
ViRobot 2008.9.2.1361 2008.09.02 -
VirusBuster 4.5.11.0 2008.09.02 -
Webwasher-Gateway 6.6.2 2008.09.02 -
weitere Informationen
File size: 14048 bytes
MD5...: 37044da1f53a8a6e5c54fca4c974511a
SHA1..: c67e85389503bea34fa7c4c29486bc349b3f39b7
SHA256: b86fe1370e2f55000b5227f2c7a41a76a841a72d1e2a40143b4044b7d5a39088
SHA512: 8e6fee5f6620613a0f05547e90a9261bbb38f352afa9c6fc7dcc664b834d86a0
48a67cc6b1f5341ba1642fcdc92c640b2cd897184cc47a1a4efa96ab8010d7e9
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10000000
timedatestamp.....: 0x42c17f50 (Tue Jun 28 16:48:16 2005)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1678 0x1800 3.40 6b19bcdd5d5083557e2de5ea770b202f
.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )

03FF11AA30.sys

AhnLab-V3 2008.9.3.0 2008.09.02 -
AntiVir 7.8.1.23 2008.09.02 -
Authentium 5.1.0.4 2008.09.02 -
Avast 4.8.1195.0 2008.09.02 -
AVG 8.0.0.161 2008.09.02 -
BitDefender 7.2 2008.09.02 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.02 -
DrWeb 4.44.0.09170 2008.09.02 -
eSafe 7.0.17.0 2008.09.02 -
eTrust-Vet 31.6.6064 2008.09.02 -
Ewido 4.0 2008.09.02 -
F-Prot 4.4.4.56 2008.09.02 -
F-Secure 8.0.14332.0 2008.09.02 -
Fortinet 3.14.0.0 2008.09.02 -
GData 19 2008.09.02 -
Ikarus T3.1.1.34.0 2008.09.02 -
K7AntiVirus 7.10.437 2008.09.02 -
Kaspersky 7.0.0.125 2008.09.02 -
McAfee 5374 2008.09.01 -
Microsoft 1.3807 2008.09.02 -
NOD32v2 3407 2008.09.02 -
Norman 5.80.02 2008.09.02 -
Panda 9.0.0.4 2008.09.02 -
PCTools 4.4.2.0 2008.09.02 -
Prevx1 V2 2008.09.02 -
Rising 20.60.11.00 2008.09.02 -
Sophos 4.33.0 2008.09.02 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.02 -
TheHacker 6.3.0.8.069 2008.09.01 -
TrendMicro 8.700.0.1004 2008.09.02 -
VBA32 3.12.8.4 2008.09.02 -
ViRobot 2008.9.2.1361 2008.09.02 -
VirusBuster 4.5.11.0 2008.09.02 -
Webwasher-Gateway 6.6.2 2008.09.02 -
weitere Informationen
File size: 56 bytes
MD5...: b3cc906f68adfae0a6077856896cc936
SHA1..: 80f658fce8e413256373e149de245d376150d99b
SHA256: 6aa98566104be1ee7fe13bd26bffbe48556a907c05748ff1f77d783cf0ce5383
SHA512: ed6b122df4953f18820a7f19c40c5ce457ad980311becd2af09d7ef3b37fdb74
7c9ae14c2d9b4cd4acd3ebb298e68f2fa813224a8e62faef493b23befdc37dad
PEiD..: -
TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)
PEInfo: -

Sieht doch schon mal gut aus :1 mml

schrauber · 02.09.2008

sag ich dir wenn ich das log von malwarebytes sehe

SportGoofy · 02.09.2008

Tja grmfl

da iss wohl noch was :-\

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

02.09.2008 19:02:55
mbam-log-2008-09-02 (19-02-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 128143
Laufzeit: 1 hour(s), 15 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\blphcjsdj0e5e7.scr.vir.vir (Trojan.FakeAlert) -> No action taken.

schrauber · 02.09.2008

Immer locker durch die hose atmen

schau dir mal den fund genau an....fällt dir was auf?

mbam hat ne datei in der combofix-quarantäne gefunden, also nicht so schlimm, denn da darf sie ja sein

.

jetzt noch den onlinescan, dass wir die ganzen festplatten und so mit einbezogen haben. aber kannst dich seelisch und moralisch schonmal auf den endspurt einstellen

.

gruß

schrauber

SportGoofy · 02.09.2008

Also Standard find ich da nicht - is alles englisch.
Kann ich die Einstellungen so lassen?

Muß ich auf critical areas klicken?

schrauber · 02.09.2008

http://www.kaspersky.com/de/virusscanner

deutsche version

SportGoofy · 03.09.2008

Hat etwas länger gedauert -
als es um 22 Uhr noch nicht fertig war, hab ich es über Nacht laufen lassen.

Mittwoch, 3. September 2008 05:32:57
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 2/09/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1054935

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 84381
Viren gefunden 0
Infizierte Objekte gefunden 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 02:33:32

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\3afc08590568f84b715022059e3badd1_86654648-7980-43b0-9245-3711d5aa980f Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\511a0f3f9e960fa97de3d0b74adfc574_86654648-7980-43b0-9245-3711d5aa980f Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\temp\hsperfdata_JTetzlaff\3152 Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\temp\~DF8ECE.tmp Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008090220080903\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\JTetzlaff\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\Perflib_Perfdata_130.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG Das Objekt ist gesperrt übersprungen

C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log_691.trc Das Objekt ist gesperrt übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\S8613407E.tmp Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edbtmp.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

D:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

E:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

F:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

G:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

H:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

H:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

I:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

I:\System Volume Information\_restore{95923B93-CC1E-4376-96AE-81DCA9C7ED2B}\RP3\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber · 03.09.2008

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer[OTMoveIt2.exe] herunter.

Speichere es auf Deinem Desktop.
Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
Klicke auf den Button CleanUp!
Eine Datei* sollte nun heruntergeladen werden.
*Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
OTMoveit fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

========

Systemwiederherstellung deaktivieren und wieder aktivieren:

Windows XP: Deaktiviere die
Systemwiederherstellung
Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
Wähle den Reiter Systemwiederherstellung
Mache einen Haken bei Systemwiederherstellung auf allen Laufwerken deaktivieren => drücke übernehmen
der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
den Haken wieder entfernen und OK drücken
wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

====================

mach folgenden onlinescan und poste das log:

http://support.f-secure.com/ger/home/ols.shtml

SportGoofy · 03.09.2008

Also wenn ich den Link kopiere und otmoveit2.exe anfüge steht da
nicht gefunden - nur klicken geht auch nicht

schrauber · 03.09.2008

hinter Oldtimer kommt /OtMoveIt2.exe

SportGoofy · 03.09.2008

??? Hatte ich schon probiert - jetzt noch mal probiert - geht nicht (schulterzuck)
Stimmt der Link denn?

W.E. · 03.09.2008

sorry, schrauber, aber das ist jetzt nicht mehr souverain.....

das funzt einfach nicht.

nun ist SportGoofy heiss und sehr bemüht - aber so ist das kein wunder, wenn das nicht vorwärts geht....

schrauber · 03.09.2008

ich kann es nicht ausprobieren im mom, aber ich nütze den Link 10mal am tag! Sollte das Tool heut Down sein ???

Oje Schmarotzer Viren oder so was

W.E.

schrauber

schrauber

SportGoofy

schrauber

SportGoofy

schrauber

SportGoofy

schrauber

SportGoofy

schrauber

SportGoofy

schrauber

SportGoofy

schrauber

SportGoofy

schrauber

SportGoofy

W.E.

schrauber

Oje Schmarotzer Viren oder so was

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums