Recycler konnte nicht gefunden werden 2

chié · 04.03.2009, 02:52

Guten Morgen,

wie ich dem Board entnehmen kann bin ich anscheinend nicht der erste der sich dieses Mistvieh eingefangen hat ^^

habe die ersten Schritte brav verfolgt...
hier mein log:
__________________________________________________ ______________
ComboFix 09-03-02.03 - Chié 2009-03-04 1:39:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1015.720 [GMT 1:00]
ausgeführt von:: c:\documents and settings\Chié\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\docume~1\CHI~1\LOCALS~1\Temp\tmp1.tmp
c:\docume~1\CHI~1\LOCALS~1\Temp\tmp2.tmp
c:\recycler\S-8-4-75-100021651-100018218-100026202-1866.com
c:\windows\system32\gaopdxcounter
D:\Autorun.inf
d:\recycler\S-0-0-45-100026608-100028145-100021522-7908.com
d:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com
d:\recycler\S-1-4-14-100019454-100028563-100009179-2069.com
d:\recycler\S-4-8-99-100007189-100012513-100013168-9449.com
d:\recycler\S-6-4-70-100027834-100009475-100015279-7988.com
d:\recycler\S-6-8-98-100024420-100030638-100011698-2214.com
d:\recycler\S-8-4-75-100021651-100018218-100026202-1866.com
E:\Autorun.inf
e:\recycler\S-0-0-45-100026608-100028145-100021522-7908.com
e:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com
e:\recycler\S-1-4-14-100019454-100028563-100009179-2069.com
e:\recycler\S-6-4-70-100027834-100009475-100015279-7988.com
e:\recycler\S-6-8-98-100024420-100030638-100011698-2214.com
e:\recycler\S-8-4-75-100021651-100018218-100026202-1866.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-04 bis 2009-03-04 ))))))))))))))))))))))))))))))
.

2009-03-04 00:58 . 2009-03-04 00:58 <DIR> d-------- c:\program files\CCleaner
2009-03-03 20:00 . 1998-05-11 21:01 240,944 --a------ c:\windows\system32\RICHED.DLL
2009-03-03 16:13 . 2009-03-03 16:13 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-03-03 09:00 . 2009-03-03 09:00 <DIR> d-------- c:\documents and settings\Chié\Tracing
2009-03-03 09:00 . 2009-03-03 09:00 <DIR> d-------- c:\documents and settings\Chié\Tracing
2009-03-02 03:30 . 2009-03-03 09:47 <DIR> d-------- c:\program files\Common Files\Blizzard Entertainment
2009-03-02 00:26 . 2009-03-02 00:26 <DIR> d-------- c:\program files\Common Files\Windows Live
2009-03-01 21:32 . 2002-12-24 21:18 3,712 --a------ c:\windows\system32\drivers\cfadisk.sys
2009-03-01 12:06 . 2009-03-01 12:06 230 --a------ c:\windows\system32\spupdsvc.inf
2009-02-28 18:46 . 2009-02-28 19:14 <DIR> d-------- c:\documents and settings\Chié\Application Data\id Software
2009-02-28 18:00 . 2004-08-04 13:00 68,608 --a------ c:\windows\system32\plugin.ocx
2009-02-28 17:58 . 2009-02-28 17:58 <DIR> d--h----- c:\windows\$hf_mig$
2009-02-26 07:29 . 2009-02-26 07:29 <DIR> d-------- c:\documents and settings\ChiÃ©
2009-02-25 22:13 . 2009-02-28 18:42 22,328 --a------ c:\documents and settings\Chié\Application Data\PnkBstrK.sys
2009-02-25 20:49 . 2009-02-26 20:31 60 --a------ c:\windows\system32\Jvpr02.0cx
2009-02-25 20:49 . 2009-02-26 20:31 25 --a------ c:\windows\Pref23.D1l
2009-02-25 00:18 . 2009-02-25 00:18 <DIR> d-------- c:\documents and settings\All Users\Application Data\Last.fm
2009-02-16 07:49 . 2009-02-16 07:51 <DIR> d-------- c:\program files\ANYCOM
2009-02-14 18:16 . 2009-02-26 22:49 <DIR> d-------- c:\documents and settings\Chié\Application Data\Hamachi
2009-02-14 18:13 . 2009-02-15 21:52 <DIR> d-------- c:\program files\Hamachi
2009-02-14 18:13 . 2009-02-14 18:13 25,280 --a------ c:\windows\system32\drivers\hamachi.sys
2009-02-14 15:09 . 2009-02-14 15:09 <DIR> d-------- c:\program files\directx
2009-02-12 03:11 . 2009-02-12 03:11 <DIR> d-------- C:\Nexon
2009-02-12 03:11 . 2009-02-12 07:28 421,888 --a------ c:\windows\NEXON_EU_DownloaderUpdater.exe
2009-02-11 19:38 . 2009-02-14 18:04 <DIR> d-------- C:\TEMP
2009-02-08 18:53 . 2009-02-10 18:47 <DIR> d-------- c:\documents and settings\Chié\Application Data\skypePM
2009-02-08 15:36 . 2009-02-08 15:37 2,271 --a------ c:\windows\ST6UNST.001
2009-02-08 15:29 . 2005-03-19 12:59 12,043,614 --------- c:\windows\VokTheo.CAB
2009-02-08 15:29 . 2009-02-25 20:47 286,720 --------- c:\windows\Setup1.exe
2009-02-08 15:29 . 2009-02-08 15:36 74,752 --------- c:\windows\ST6UNST.EXE
2009-02-08 15:29 . 2009-02-08 15:33 6,772 --a------ c:\windows\ST6UNST.000
2009-02-08 15:27 . 2009-02-08 15:28 <DIR> d-------- c:\documents and settings\Chié\Application Data\Teeworlds

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-03-02 03:13 --------- d-----w c:\documents and settings\Chié\Application Data\Miranda
2009-02-24 19:30 --------- d-----w c:\program files\TuneUp Utilities 2009
2009-02-14 13:41 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-14 01:41 --------- d-----w c:\program files\Samurize
2009-02-10 17:54 --------- d-----w c:\documents and settings\Chié\Application Data\Skype
2009-02-08 18:02 --------- d-----w c:\documents and settings\Eva\Application Data\Skype
2009-02-08 17:58 --------- d-----w c:\documents and settings\Eva\Application Data\skypePM
2009-01-28 10:46 --------- d-----w c:\program files\WorldOfGoo
2009-01-27 12:17 --------- d-----w c:\documents and settings\All Users\Application Data\2DBoy
2009-01-14 10:44 --------- d-----w c:\documents and settings\Eva\Application Data\Media Player Classic
2009-01-09 15:29 --------- d-----w c:\program files\Opera
2009-01-06 10:23 --------- d-----w c:\documents and settings\Eva\Application Data\TuneUp Software
2009-01-06 08:40 603,904 ----a-w c:\windows\system32\TUProgSt.exe
2009-01-06 08:40 360,192 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-01-06 08:40 --------- d-----w c:\documents and settings\Chié\Application Data\TuneUp Software
2009-01-06 08:38 --------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software
2009-01-06 08:37 --------- d-sh--w c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-25 15:58 70,656 ----a-w c:\windows\ScUnin.exe
2008-12-22 20:25 98,304 ----a-w c:\windows\W2BNEUnin.exe
2008-12-22 20:25 2,829 ----a-w c:\windows\W2BNEUnin.pif
2008-12-13 16:07 212,466 ----a-w c:\documents and settings\Eva\Application Data\mdbu.bin
2008-12-11 12:31 27,904 ----a-w c:\windows\system32\uxtuneup.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-04-22 69632]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2007-10-02 450560]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-18 102400]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 1

68]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\Chi‚\Start Menu\Programs\Startup\
Client Default.lnk - c:\program files\Samurize\Client.exe [2007-04-07 2010624]
EEEClock.lnk - c:\program files\EEE Clock\eeeclock.exe [2008-11-16 26624]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\E:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--------- 2007-09-22 07:43 104984 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--------- 2007-09-22 07:43 100888 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-09-29 17:57 21755688 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Program Files\\Zattoo\\zattood.exe"=
"c:\\Program Files\\Zattoo\\Zattoo1.exe"=
"e:\\Dune Triology\\Dune 2000\\Dune2000.dat"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Download er_Engine.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"e:\\GTA\\WINO\\Grand Theft Auto.exe"=
"e:\\GTA2\\gta2.exe"=
"e:\\CS2D\\CounterStrike2D.exe"=
"e:\\GTA2 Game Hunter\\GTA2 Game Hunter.exe"=
"d:\\Steam\\steamapps\\miltown\\counter-strike\\hl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 cfadisk;CompactFlash Filter Driver;c:\windows\system32\drivers\cfadisk.sys [2009-03-01 3712]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACED RV10.sys [2007-10-28 583128]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\aceh lp10.sys [2007-10-26 250560]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-06 603904]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-11-06 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-11-06 30720]
R3 dciacpidrv;dciacpidrv;c:\windows\system32\drivers\ dciacpidrv.sys [2008-11-16 4096]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-11-06 57024]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-7-20-100009092-100018337-100007128-3058.com c:\
\Shell\Open\command - c:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com c:\

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-7-20-100009092-100018337-100007128-3058.com d:\
\Shell\Open\command - d:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com d:\

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-7-20-100009092-100018337-100007128-3058.com e:\
\Shell\Open\command - e:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com e:\

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{106ee33c-d9c6-11dd-a402-806d6172696f}]
\shell\open\command - %SystemRoot%\Explorer.exe /idlist,%I,%L

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1d03da59-d2a0-11dd-a848-0015af8101fb}]
\Shell\AutoRun\command - Z:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{ddc47e42-ac31-11dd-a792-806d6172696f}]
\shell\PlayDVDMovie\command - "c:\program files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /dvd
.
Inhalt des "geplante Tasks" Ordners

2009-03-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ElbyCheckElbyCDFL - f:\clone cd\ElbyCheck.exe
MSConfigStartUp-Steam - c:\sd\Steam\Steam.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-04 01:42:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\docume~1\CHI~1\LOCALS~1\Temp\Perflib_Perfdata_a 14.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

************************************************** ************************
.
Zeit der Fertigstellung: 2009-03-04 1:45:18
ComboFix-quarantined-files.txt 2009-03-04 00:45:15

Vor Suchlauf: 161.533.952 bytes free
Nach Suchlauf: 651,669,504 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /noexecute=optin /fastdetect

203

__________________________________________________ _____________
Wie sehen die weiteren Schritte aus?

FreewareGuide · 05.03.2009, 07:35

Ich zumindest weiß keine Antwort, außer eine radikale...

Sorry,
Thorsten

chié · 08.03.2009, 23:47

Okay, soweit ich das richtig verstanden habe, wurde jeder Support für dieses(auch mein) Problem eingestellt. Da format für mich auf keinen Fall in Frage kommt, werde ich wohl entweder mit der Schadsoftware leben müssen, oder...?
Kann mir dann wenigstens jemand erklären wie ich die schädlichen Reste mit Avenger selber beseitigen kann? Oder mich auf eine Seite verweisen, auf der ich das selber rausfinden kann?

Achja und noch eine Frage: Was sollte mir überhaupt das Neu-Aufsetzen bringen, wenn eventuelle gesicherte Daten eh infiziert sind? Ich meine laut diesem Forum reicht einmal Combofix drüberjagen ja nicht aus; aber mein Virenscanner, und auch kein anderes Program können noch irgendwelche Sachen entdecken... und laut der Online-Bewertung meines HijackThis-Logs besteht jedenfalls auch keine Gefahr irgendeiner Natur...

achja, hier nochmal ein aktuelleres Combofix-Log:

Code:

ComboFix 09-03-04.01 - Chié 2009-03-08 22:27:51.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1015.671 [GMT 1:00]
ausgeführt von:: c:\documents and settings\Chié\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((   Dateien erstellt von 2009-02-08 bis 2009-03-08  ))))))))))))))))))))))))))))))
.

2009-03-07 23:50 . 2009-03-07 23:50	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2009-03-07 23:50 . 2009-03-07 23:50	<DIR>	d--------	c:\documents and settings\Chié\Application Data\Malwarebytes
2009-03-07 23:50 . 2009-03-07 23:50	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-07 23:50 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-07 23:50 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-03-05 18:51 . 2008-10-16 14:09	43,544	--a------	c:\windows\system32\wups2.dll
2009-03-05 18:51 . 2008-10-16 14:09	31,768	--a------	c:\windows\system32\wucltui.dll.mui
2009-03-05 18:51 . 2008-10-16 14:07	23,576	--a------	c:\windows\system32\wuaucpl.cpl.mui
2009-03-05 18:51 . 2008-10-16 14:07	23,576	--a------	c:\windows\system32\wuapi.dll.mui
2009-03-05 18:51 . 2008-10-16 14:07	18,456	--a------	c:\windows\system32\wuaueng.dll.mui
2009-03-05 18:46 . 2009-03-05 18:46	<DIR>	d---s----	c:\documents and settings\Chié\UserData
2009-03-05 18:46 . 2009-03-05 18:46	<DIR>	d---s----	c:\documents and settings\Chié\UserData
2009-03-05 16:58 . 2009-03-05 16:58	0	--a------	c:\windows\nsreg.dat
2009-03-04 10:32 . 2009-03-04 10:32	<DIR>	d--------	c:\program files\Avira
2009-03-04 10:32 . 2009-03-04 10:32	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Avira
2009-03-04 10:08 . 2009-03-04 10:08	<DIR>	d--------	c:\documents and settings\Chié\Application Data\ESET
2009-03-04 10:04 . 2009-03-04 10:04	<DIR>	d--------	c:\documents and settings\All Users\Application Data\ESET
2009-03-04 00:58 . 2009-03-04 00:58	<DIR>	d--------	c:\program files\CCleaner
2009-03-03 20:00 . 1998-05-11 21:01	240,944	--a------	c:\windows\system32\RICHED.DLL
2009-03-03 16:13 . 2009-03-03 16:13	<DIR>	d--h-----	c:\windows\system32\GroupPolicy
2009-03-03 09:00 . 2009-03-03 09:00	<DIR>	d--------	c:\documents and settings\Chié\Tracing
2009-03-03 09:00 . 2009-03-03 09:00	<DIR>	d--------	c:\documents and settings\Chié\Tracing
2009-03-02 03:30 . 2009-03-03 09:47	<DIR>	d--------	c:\program files\Common Files\Blizzard Entertainment
2009-03-02 00:26 . 2009-03-02 00:26	<DIR>	d--------	c:\program files\Common Files\Windows Live
2009-03-01 21:32 . 2002-12-24 21:18	3,712	--a------	c:\windows\system32\drivers\cfadisk.sys
2009-03-01 12:06 . 2009-03-01 12:06	230	--a------	c:\windows\system32\spupdsvc.inf
2009-02-28 18:46 . 2009-02-28 19:14	<DIR>	d--------	c:\documents and settings\Chié\Application Data\id Software
2009-02-28 18:00 . 2004-08-04 13:00	68,608	--a------	c:\windows\system32\plugin.ocx
2009-02-28 17:58 . 2009-03-05 19:02	<DIR>	d--h-----	c:\windows\$hf_mig$
2009-02-26 07:29 . 2009-02-26 07:29	<DIR>	d--------	c:\documents and settings\ChiÃ©
2009-02-25 22:13 . 2009-02-28 18:42	22,328	--a------	c:\documents and settings\Chié\Application Data\PnkBstrK.sys
2009-02-25 20:49 . 2009-02-26 20:31	60	--a------	c:\windows\system32\Jvpr02.0cx
2009-02-25 20:49 . 2009-02-26 20:31	25	--a------	c:\windows\Pref23.D1l
2009-02-25 00:18 . 2009-02-25 00:18	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Last.fm
2009-02-16 07:49 . 2009-02-16 07:51	<DIR>	d--------	c:\program files\ANYCOM
2009-02-14 18:16 . 2009-02-26 22:49	<DIR>	d--------	c:\documents and settings\Chié\Application Data\Hamachi
2009-02-14 18:13 . 2009-02-15 21:52	<DIR>	d--------	c:\program files\Hamachi
2009-02-14 18:13 . 2009-02-14 18:13	25,280	--a------	c:\windows\system32\drivers\hamachi.sys
2009-02-14 15:09 . 2009-02-14 15:09	<DIR>	d--------	c:\program files\directx
2009-02-12 03:11 . 2009-02-12 03:11	<DIR>	d--------	C:\Nexon
2009-02-12 03:11 . 2009-02-12 07:28	421,888	--a------	c:\windows\NEXON_EU_DownloaderUpdater.exe
2009-02-11 19:38 . 2009-02-14 18:04	<DIR>	d--------	C:\TEMP
2009-02-08 18:53 . 2009-02-10 18:47	<DIR>	d--------	c:\documents and settings\Chié\Application Data\skypePM
2009-02-08 15:36 . 2009-02-08 15:37	2,271	--a------	c:\windows\ST6UNST.001
2009-02-08 15:29 . 2005-03-19 12:59	12,043,614	---------	c:\windows\VokTheo.CAB
2009-02-08 15:29 . 2009-02-25 20:47	286,720	---------	c:\windows\Setup1.exe
2009-02-08 15:29 . 2009-02-08 15:36	74,752	---------	c:\windows\ST6UNST.EXE
2009-02-08 15:29 . 2009-02-08 15:33	6,772	--a------	c:\windows\ST6UNST.000
2009-02-08 15:27 . 2009-02-08 15:28	<DIR>	d--------	c:\documents and settings\Chié\Application Data\Teeworlds

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-02 03:13	---------	d-----w	c:\documents and settings\Chié\Application Data\Miranda
2009-02-24 19:30	---------	d-----w	c:\program files\TuneUp Utilities 2009
2009-02-14 13:41	---------	d--h--w	c:\program files\InstallShield Installation Information
2009-02-14 01:41	---------	d-----w	c:\program files\Samurize
2009-02-10 17:54	---------	d-----w	c:\documents and settings\Chié\Application Data\Skype
2009-02-08 18:02	---------	d-----w	c:\documents and settings\Eva\Application Data\Skype
2009-02-08 17:58	---------	d-----w	c:\documents and settings\Eva\Application Data\skypePM
2009-01-28 10:46	---------	d-----w	c:\program files\WorldOfGoo
2009-01-27 12:17	---------	d-----w	c:\documents and settings\All Users\Application Data\2DBoy
2009-01-14 10:44	---------	d-----w	c:\documents and settings\Eva\Application Data\Media Player Classic
2009-01-09 15:29	---------	d-----w	c:\program files\Opera
2009-01-06 08:40	603,904	----a-w	c:\windows\system32\TUProgSt.exe
2009-01-06 08:40	360,192	----a-w	c:\windows\system32\TuneUpDefragService.exe
2008-12-25 15:58	70,656	----a-w	c:\windows\ScUnin.exe
2008-12-22 20:25	98,304	----a-w	c:\windows\W2BNEUnin.exe
2008-12-22 20:25	2,829	----a-w	c:\windows\W2BNEUnin.pif
2008-12-13 16:07	212,466	----a-w	c:\documents and settings\Eva\Application Data\mdbu.bin
2008-12-11 12:31	27,904	----a-w	c:\windows\system32\uxtuneup.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-03-04_ 1.43.34,50   )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00:00	66,560	----a-w	c:\windows\system32\cdm.dll
+ 2008-10-16 13:09:44	92,696	----a-w	c:\windows\system32\cdm.dll
- 2008-05-09 12:15:47	45,376	----a-w	c:\windows\system32\drivers\avgntdd.sys
+ 2008-05-09 11:15:47	45,376	----a-w	c:\windows\system32\drivers\avgntdd.sys
- 2008-01-21 17:11:28	22,336	----a-w	c:\windows\system32\drivers\avgntmgr.sys
+ 2008-01-21 16:11:28	22,336	----a-w	c:\windows\system32\drivers\avgntmgr.sys
- 2008-11-12 06:07:10	75,072	----a-w	c:\windows\system32\drivers\avipbb.sys
+ 2008-10-30 09:21:03	75,072	----a-w	c:\windows\system32\drivers\avipbb.sys
- 2007-11-08 18:03:26	21,248	----a-w	c:\windows\system32\drivers\ssmdrv.sys
+ 2007-11-08 17:03:26	21,248	----a-w	c:\windows\system32\drivers\ssmdrv.sys
+ 2008-03-20 17:06:36	1,480,232	------w	c:\windows\system32\LegitCheckControl.dll
+ 2009-02-11 19:56:18	21,244,872	----a-w	c:\windows\system32\MRT.exe
+ 2008-10-16 13:08:58	34,328	----a-w	c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
- 2006-09-25 16:58:48	14,640	------w	c:\windows\system32\spmsg.dll
+ 2008-03-20 13:41:20	14,640	------w	c:\windows\system32\spmsg.dll
- 2004-08-04 12:00:00	430,592	----a-w	c:\windows\system32\wuapi.dll
+ 2008-10-16 13:12:20	561,688	----a-w	c:\windows\system32\wuapi.dll
- 2004-08-04 12:00:00	111,104	----a-w	c:\windows\system32\wuauclt.exe
+ 2008-10-16 13:09:44	51,224	----a-w	c:\windows\system32\wuauclt.exe
- 2004-08-04 12:00:00	1,134,592	----a-w	c:\windows\system32\wuaueng.dll
+ 2008-10-16 13:13:40	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
- 2004-08-04 12:00:00	112,640	----a-w	c:\windows\system32\wucltui.dll
+ 2008-10-16 13:12:22	323,608	----a-w	c:\windows\system32\wucltui.dll
- 2004-08-04 12:00:00	36,864	----a-w	c:\windows\system32\wups.dll
+ 2008-10-16 13:08:58	34,328	----a-w	c:\windows\system32\wups.dll
- 2004-08-04 12:00:00	120,320	----a-w	c:\windows\system32\wuweb.dll
+ 2008-10-16 13:12:24	202,776	----a-w	c:\windows\system32\wuweb.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-04-22 69632]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2007-10-02 450560]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-18 102400]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\Chi‚\Start Menu\Programs\Startup\
Client Default.lnk - c:\program files\Samurize\Client.exe [2007-04-07 2010624]
EEEClock.lnk - c:\program files\EEE Clock\eeeclock.exe [2008-11-16 26624]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /r \??\E:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--------- 2007-09-22 07:43 104984 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--------- 2007-09-22 07:43 100888 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-09-29 17:57 21755688 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Miranda IM\\miranda32.exe"=
"c:\\Program Files\\Zattoo\\zattood.exe"=
"c:\\Program Files\\Zattoo\\Zattoo1.exe"=
"e:\\Dune Triology\\Dune 2000\\Dune2000.dat"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"e:\\GTA\\WINO\\Grand Theft Auto.exe"=
"e:\\GTA2\\gta2.exe"=
"e:\\CS2D\\CounterStrike2D.exe"=
"e:\\GTA2 Game Hunter\\GTA2 Game Hunter.exe"=
"d:\\Steam\\steamapps\\miltown\\counter-strike\\hl.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"d:\\Warcraft III\\Warcraft III.exe"=
"d:\\Steam\\steamapps\\miltown\\half-life\\hl.exe"=
"c:\\Program Files\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 cfadisk;CompactFlash Filter Driver;c:\windows\system32\drivers\cfadisk.sys [2009-03-01 3712]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-06 603904]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-11-06 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-11-06 30720]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-11-06 57024]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-7-20-100009092-100018337-100007128-3058.com c:\
\Shell\Open\command - c:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com c:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-7-20-100009092-100018337-100007128-3058.com d:\
\Shell\Open\command - d:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com d:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-7-20-100009092-100018337-100007128-3058.com e:\
\Shell\Open\command - e:\recycler\S-0-7-20-100009092-100018337-100007128-3058.com e:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{106ee33c-d9c6-11dd-a402-806d6172696f}]
\shell\open\command - %SystemRoot%\Explorer.exe /idlist,%I,%L

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d03da59-d2a0-11dd-a848-0015af8101fb}]
\Shell\AutoRun\command - Z:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddc47e42-ac31-11dd-a792-806d6172696f}]
\shell\PlayDVDMovie\command - "c:\program files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe" %1 /dvd
.
Inhalt des "geplante Tasks" Ordners

2009-03-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 19:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\documents and settings\Chié\Application Data\Mozilla\Firefox\Profiles\83keynhn.default\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-08 22:30:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-08 22:33:47
ComboFix-quarantined-files.txt  2009-03-08 21:33:44
ComboFix2.txt  2009-03-05 17:42:50
ComboFix3.txt  2009-03-04 00:45:20

Vor Suchlauf: 627.216.384 bytes free
Nach Suchlauf: 626,974,720 bytes free

221

FreewareGuide · 09.03.2009, 08:57

Moin,

es hilft Dir nichts wenn wir hier so tun als könnten wir Dir in Deiner Situation unterstützen, wir müssen jetzt hier nicht so tun, als hätten wir ausreichend Wissen zum Thema. The times are a-changin'. Auch wenn uns selbst das auch leid tut.

Ich kann Dir nur noch empfehlen, dieses Tutorial zu lesen, insbesondere den Verweis auf die "Hilfe, um ComboFix-Logs zu analysieren".

Wobei ich die Aussage, das eine Neuinstallation nicht in Frage kommt auch für hinterfragenswert halte, dann ist bei Dir bzgl. Datensicherung etc. was im Argen momentan.

Sorry,
Thorsten

grunzer · 09.03.2009, 17:48

Zitat:

Da format für mich auf keinen Fall in Frage kommt, werde ich wohl entweder mit der Schadsoftware leben müssen, oder...?

Das ist wirklich eine etwas seltsame Auffassung von Sicherheit!

Ich würde mich nicht mal bei einer Website, an der nicht meine Existsenz hängt anmelden, wenn ich ein solches Ding auf dem Rechner habe!
ÄNDERE ALLE PASSWÖRTER EGAL WO UND VERWENDE KEIN ONLINEBANKING USW...
Selbst wenn einige Dateien Deiner persönlichen Daten verseucht sind, gibt es keinen Grund Deinen Rechner NICHT neu und sauber aufzusetzen. Denn mit einem frischen (gepatched) Rechner kann man die gut überprüfen und geg. Viren löschen lassen. Man muß halt erst scannen und dann öffnen/starten.

Das wirkliche Problem, das wir haben ist folgendes:
Unser Wissen ist nicht klein in dem Bereich, aber wir machen das nicht Hauptberuflich! Die Schadsoftwareschreiber schon!
Deshalb sind wir denen so weit hinterher, daß es schon fast traurig ist. Aber das geht Antivirensoftwarefirmen zum Glück genauso und wer was anderes behauptet lügt.

Wer glaubt, daß sein Rechner nach einer solchen Verseuchung, eigenem Halbwissen bei der Bereinigung und ein paar geposteten Logbüchern wieder integer ist, der ist in meinen Augen schon sehr naiv!

Außerdem haben wir ein Zeitproblem. Um ein solches Logbuch -wie vom Combofix- durchzuarbeiten ist viel Zeit nötig. Man muß viele Einträge nachschlagen, da man nie all die Software kennen kann, die jemand fremdes auf seinem Rechner hat. Wenn Du aber heute -sagen wir 10 Uhr- das Problem postest und ich um 16 Uhr das lese. Dann bearbeite ich Dein Log bis 16:30 Uhr oder so, gib Dir Tipps, auf Dein Thema bezogen.
Dann ließt Du es vielleicht am nächsten Tag und ich evtl dann am Nachmittag.
Wenn dann noch weitere Fragen usw kommen, dann dauert das vielleicht 3-5 Tage.
Dann hat man aber nur das offensichtliche behoben!
In der Zwischenzeit hast Du dann aber so lange mit einem verseuchten Rechner gearbeitet und das kann ich nicht verantworten!
Ob dann aber alles sicher ist weiß man nicht.

Es kann genauso gut sein, daß die Schadsoftware irgendeine Hintertür geöffnet hat und einfach ein paar Wochen wartet bis es die ausnutzt und alles geht von vorne los.
Vor ein paar Jahren habe ich diese Aussage schonmal getroffen und wurde als Paranoiker beschimpft. Bei der Anzahl von Schadroutinen innerhalb eines einzigen Programms wage ich diese Aussagge aber trotzdem nochmal!

Grüße Grunzer

immorb · 09.03.2009, 19:25

Zitat:

Zitat von chié

[..]
Achja und noch eine Frage: Was sollte mir überhaupt das Neu-Aufsetzen bringen, wenn eventuelle gesicherte Daten eh infiziert sind?
[..]

wenn einem der PC und die Daten darauf "so" wichtig sind,dann sollte man sofort eine Kopie der Daten,wenn sie jungfräulich" sind, erstellen.

Wenn die Software,die uns Laien zur Verfügung steht, nicht mehr hilft, dann geht es halt nur über das Neuaufsetzen des Systems.

Zitat:

Zitat von chié

und laut der Online-Bewertung meines HijackThis-Logs besteht jedenfalls auch keine Gefahr irgendeiner Natur...

wenn HijackThis nichts findet...soll nicht sagen das andere Störer auf dem PC sind.

Man beachte den Namen>>> HijackThis
Andere Programme,z.B. Spybot&Destroy oder MalwareByte usw. finden wieder andere Bösewichter.
Du kannst ja mal diesen>> Hitman Pro << (Dieser Link weil eine kurze Erklärung bei ist und ältere Version)
>> Entwicklerseite
Garantiert,der findet wieder andere Sachen.

m.f.G.

IchGoogleAlles · 10.03.2009, 22:38

@chié

Falls du noch Interesse hast, dann melde dich nochmal.

ciao, andreas