Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

XP: win32 rootkit-gen beseitigen nach FAQ

Hallo an alle,

habe gerade die Rootkits "win32 rootkit-gen" sowie "VBS:Malware-gen" auf meinem PC entdeckt und hoffe auf eure Hilfe !

Mein System:
Windows
XP Professional SP3, Version 5.1.2600
Browser: Firefox 3.5.7
Outlook Express 6
Virenscanner: avast! antiVir Home Edition
Anti-Malware: Spybot S&D

Ich habe mich bemüht, nach der FAQ von Humdinger vorzugehen, was allerdings nur teilweise gelungen ist:
1. CCleaner benutzt
2. Malwarebytes: Fehler beim Start (Laufzeitfehler '0' und '440', dazu Angabe 'Automatisierungsfehler'). Habe hierzu schon gegoogelt, aber wenig Aufschlussreiches gefunden. Somit auch kein Neustart.
3. WindowsScan - Das Logfile ist unglaublich lang - wie poste ich das?? Hier nur ein Ausschnitt:

Die 30 neuesten Dateien im Ordner Windows:
 
***** ***** ***** ***** ***** 
***** Scanning C:\WINDOWS ***** 
***** ***** ***** ***** ***** 
 
 02.02.2010 wiaservc.log 13 15:50 
 02.02.2010 wiadebug.log 13 15:159 
 02.02.2010 Sti_Trace.log 13 15:0 
 02.02.2010 bootstat.dat 13 08:2.048 
 02.02.2010 SchedLgU.Txt 13 07:32.618 
 02.02.2010 winamp.ini 08 53:1.065 
 01.02.2010 NeroDigital.ini 23 43:116 
 01.02.2010 system.ini 11 28:281 
 30.01.2010 Setup1.exe 14 02:167.936 
 30.01.2010 ST6UNST.EXE 14 02:74.752 
 30.01.2010 BRWMARK.INI 13 53:432 
 25.01.2010 PhotoSnapViewer.INI 20 18:151 
 30.12.2009 WMSysPr9.prx 16 37:316.640 
 12.12.2009 Missing.ini 13 14:17 
 18.09.2009 copyfstq.exe 22 26:73.728 
 18.09.2009 dropcpyr.dll 22 26:94.636 
 01.05.2009 Brownie.ini 17 56:23 
 01.05.2009 HL-2030.INI 17 56:9.013 
 01.05.2009 BRVIDEO.INI 17 56:141 
 01.05.2009 BRDIAG.INI 17 56:40 
 01.05.2009 ODBC.INI 09 59:400 
 01.05.2009 win.ini 01 41:519 
 01.05.2009 Language_trs.ini 01 04:1.746 
 01.05.2009 Ascd_tmp.ini 00 35:29.018 
 30.04.2009 nsreg.dat 16 54:0 
 30.04.2009 REGLOCS.OLD 16 18:8.192 
 30.04.2009 control.ini 16 15:0 

Schritte 4 (Kaspersky Online Scan) und 5 (Hijack-This) folgen in den nächsten Posts. Vielen Dank euch schon mal !!!!

 



Antworten zu XP: win32 rootkit-gen beseitigen nach FAQ:

Hier wäre das Protokoll des Kaspersky Online Scans (2 Teile). Hier wurden einige Viren gefunden, von denen ich den größten Teil allerdings für ungefährlich halte. Habe bereits alle infizierten Dateien bis auf die unter F:\RECYCLER\.... problemlos von Hand löschen können.
Bei F: handelt es sich übrigens um meine Backup-Platte, die ich erstmal abgehängt habe.


-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 2. Februar 2010 19:33:41
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken:  2/02/2010
 Anzahl der Einträge in den Antiviren-Datenbanken: 3399063
-------------------------------------------------------------------------------

Scan-Einstellungen:
   Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
   Archive untersuchen: ja
   Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
   A:\
   C:\
   D:\
   E:\
   F:\
   G:\

Untersuchungsergebnisse:
   Untersuchte Objekte insgesamt: 221412
   Viren gefunden: 5
   Infizierte Objekte gefunden: 29
   Verdächtige Objekte gefunden: 0
   Untersuchungszeit: 05:31:14

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\cert8.db   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\content-prefs.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\cookies.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\cookies.sqlite-journal   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\downloads.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\formhistory.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\key3.db   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\parent.lock   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\permissions.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\places.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\places.sqlite-journal   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\search.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\signons.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\call256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\callmember256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chat2048.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chat512.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chatmember256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chatmsg1024.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chatmsg2048.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chatmsg256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chatmsg512.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\chatmsg8192.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\contactgroup256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\dyncontent\bundle.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\index2.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\profile16384.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\sms512.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\transfer1024.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\transfer256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\transfer512.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\user1024.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\user16384.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\user256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\user4096.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Skype\mr_future01\voicemail256.dbb   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Cookies\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\Cache\_CACHE_001_   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\Cache\_CACHE_002_   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\Cache\_CACHE_003_   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\Cache\_CACHE_MAP_   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\pf6qfr91.default\urlclassifier3.sqlite   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Verlauf\History.IE5\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\Lokale Einstellungen\Verlauf\History.IE5\MSHist012010020220100203\index.dat   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\NTUSER.DAT   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\metoo\ntuser.dat.LOG   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat   Das Objekt ist gesperrt   übersprungen
 

Fortsetzung Kaspersky Online-Scan:
----------------------------------------

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT   Das Objekt ist gesperrt   übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\debug.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\debug.log.idx   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\error.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\error.log.idx   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\ids.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\ids.log.idx   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\network.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\network.log.idx   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\system.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\system.log.idx   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\warning.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\warning.log.idx   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\web.log   Das Objekt ist gesperrt   übersprungen
C:\Programme\Kerio\Personal Firewall 4\logs\web.log.idx   Das Objekt ist gesperrt   übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase   Das Objekt ist gesperrt   übersprungen
C:\System Volume Information\_restore{42C435E7-B166-4E0F-A16D-AA1CE4C58938}\RP223\change.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Debug\PASSWD.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\SchedLgU.Txt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Sti_Trace.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\default   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\default.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SAM   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SAM.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SECURITY   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\software   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\software.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\system   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\config\system.LOG   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\drivers\sptd.sys   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\h323log.txt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_584.dat   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\wiadebug.log   Das Objekt ist gesperrt   übersprungen
C:\WINDOWS\wiaservc.log   Das Objekt ist gesperrt   übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase   Das Objekt ist gesperrt   übersprungen
F:\Programm Install\[Brennen]\CloneCd\cloneCD\CloneCD 4.1 with serial key + Clony XXL\SetupCloneCD.exe   Infizierte Objekte: not-a-virus:AdWare.Win32.CommonName.bn   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\49-59.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\49-59.zip   ZIP: infiziert - 1   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\61.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\61.zip   ZIP: infiziert - 1   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\62.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\62.zip   ZIP: infiziert - 1   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\63.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\63.zip   ZIP: infiziert - 1   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\64.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\64.zip   ZIP: infiziert - 1   übersprungen
F:\RECYCLER\S-1-5-21-1993962763-1788223648-725345543-1003\Df16.exe/data0020   Infizierte Objekte: not-a-virus:WebToolbar.Win32.WhenU.a   übersprungen
F:\RECYCLER\S-1-5-21-1993962763-1788223648-725345543-1003\Df16.exe   NSIS: infiziert - 1   übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase   Das Objekt ist gesperrt   übersprungen
F:\System Volume Information\_restore{4A5D2A93-BE64-4E9A-8EDA-9A69360D99FF}\RP38\A0094343.exe   Infizierte Objekte: Worm.Win32.RJump.a   übersprungen
F:\[Mp3]\[Dub - Raggae -Ska]\[Reggae]\The Gladiators The Galactic Circus Games multiplayer demo.zip/The Gladiators The Galactic Circus Games multiplayer demo.exe   Infizierte Objekte: Email-Worm.Win32.Bagle.hr   übersprungen
F:\[Mp3]\[Dub - Raggae -Ska]\[Reggae]\The Gladiators The Galactic Circus Games multiplayer demo.zip   ZIP: infiziert - 1   übersprungen
F:\[Sicherung Nico]\Programm Install\[Brennen]\CloneCd\cloneCD\CloneCD 4.1 with serial key + Clony XXL\SetupCloneCD.exe   Infizierte Objekte: not-a-virus:AdWare.Win32.CommonName.bn   übersprungen
F:\[Sicherung Nico]\Programm Install\[Brennen]\daemon403-x86.exe/data0020   Infizierte Objekte: not-a-virus:WebToolbar.Win32.WhenU.a   übersprungen
F:\[Sicherung Nico]\Programm Install\[Brennen]\daemon403-x86.exe   NSIS: infiziert - 1   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\49-59.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\49-59.zip   ZIP: infiziert - 1   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\61.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\61.zip   ZIP: infiziert - 1   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\62.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\62.zip   ZIP: infiziert - 1   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\63.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\63.zip   ZIP: infiziert - 1   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\64.zip/updates.exe   Infizierte Objekte: not-a-virus:Dialer.Win32.Small.gen   übersprungen
F:\[Sicherung Nico]\Programm Install\[Sonstiges ]\Serials 2000\Updates\49-64\64.zip   ZIP: infiziert - 1   übersprungen

Die Untersuchung wurde abgeschlossen.
 

Zuletzt noch das Logfile von HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:49:35, on 02.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Portrait Displays\forteManager\DTHtml.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
D:\Programme\pdf24\PDFBackend.exe
D:\Programme\Adobe 8\Acrobat\Acrotray.exe
D:\Programme\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vtune\TBPanel.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programm Install\CD Stand 2.2.2010\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DT LGE] C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DT_startup.exe -LGE
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PDFPrint] "D:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe 8\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Dropbox\bin\Dropbox.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Dropbox\bin\Dropbox.exe (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\metoo\Anwendungsdaten\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe 8\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe 8\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8446 bytes


---------------
Ich hoffe, ich habe soweit alles richtig gemacht und dass mir jemand helfen kann!

Beste Grüße
dextermorgan

Eine Sache ist mir noch eingefallen: Das entsprechende Logfile von avast! AntiVir folgt unten (Der Scan ist den anderen zeitlich vorgelagert). Demnach ist das eine Rootkit bereits am 16.1. erstmals aufgetaucht - muss ich wohl schnell weggeklickt haben. Bei H:\ handelt es sich um einen USB-Stick, den ich regelmäßig benutzt habe und der sich die Malware immer wieder von meinem Laptop eingefangen hat, wie ich gerade rausgefunden habe.
Mittlerweile ist das System meines Laptops komplett neu aufgesetzt und auch der USB-Stick formatiert. Hier droht also keine Gefahr mehr.

Stronghold, das auch befallen war, habe ich gerade deinstalliert und die Restdateien gelöscht.

Hier das Logfile:

16.01.2010 10:07:32   SYSTEM   1692   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\kmj.exe" file. 
22.01.2010 01:25:03   SYSTEM   1772   Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142. 
24.01.2010 14:42:09   SYSTEM   1772   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\kmj.exe" file. 
25.01.2010 20:26:03   SYSTEM   1708   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\kmj.exe" file. 
28.01.2010 19:11:01   SYSTEM   1708   Sign of "Win32:Malware-gen" has been found in "D:\games\stronghold\pcchk.exe" file. 
29.01.2010 00:33:26   SYSTEM   1708   Sign of "VBS:Malware-gen" has been found in "H:\Autorun.inf" file. 
30.01.2010 12:30:41   SYSTEM   1696   Sign of "VBS:Malware-gen" has been found in "H:\Autorun.inf" file. 
30.01.2010 21:57:16   SYSTEM   1692   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\kmj.exe" file. 
02.02.2010 08:19:05   SYSTEM   1692   Sign of "JS:Pdfka-TW [Expl]" has been found in "http://google.analytics.com.oaofmsckue.info/nte/AVORP1KAV3.php/oU230d9c2eHff9a0600V03007f35002R119a01a3102Tb4fdd7d9Q00000000901801F002a000aJ00000000l0007K4645735e317" file. 
02.02.2010 12:35:14   metoo   2680   Sign of "VBS:Malware-gen" has been found in "C:\System Volume Information\_restore{42C435E7-B166-4E0F-A16D-AA1CE4C58938}\RP214\A0034158.inf" file.   

« Letzte Ă„nderung: 02.02.10, 23:13:23 von dextermorgan »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

daten sichern und neuinstalieren,alles andere ist spielerei.Aber das möchtest Du sicher nicht lesen,schließlich sind das hochwertige pogramme,die die hersteller von malware unter garantie nicht kennen.

Okay, danke für die Information. Habe kein Problem damit, zu formatieren - nur wie kann ich wissen, dass die Malware sich nicht in den Daten befindet, die ich dann wieder aufspiele?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

die zurückzuspielendne daten müssen natürlich vorher untersucht werden.Dr.web cd wäre eventuel dafür geeignet.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Keine ausführbaren Dateien und keine Archive sichern. Vor dem Zurückspielen Image der Systempartition und die daten scannen.


« AntiVir und ZoneAlarmWin XP: Kann ein Virus nicht entfernen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!